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القسم الثالث 


قضايا التقنية 


الفصل السادس : أمن المعلومات اللاسلكية محا ان نب نت كليفتون وروا 
الفصل السابع : مواد ومواقع مرجعية ل ل 
الثبت التعريفي كل 00 
المختصرات ااا ااا 01 000 
ثبت المصطلحات (عربي ‏ إنجليزي) نم تق امو اماه وقكة ابا ال ا 
ثبت المصطلحات (إنجليزي - عربي) 0000 
المراجع 8ذاااالْلكه72000000000022292920225252525222222 
حول مؤلفي الكتاب ااا 000 
الفهرس ل ل ا 


دما : 


سلسلة كتب التقنيات الاستراتيجية 
مبادرة الملك عبد الله للمحتوى العربى 


يطيب لي أن أقدم لهذه السلسلة التي جرى انتقاؤها في مجالات تقنية ذات 
أولوية للقارئ العربي في عصر أصبحت فيه المعرفة محركاً أساسياً للنمو 
الأفعساف :و العف ١‏ .ريات «تظلى هذه االوانيكنة بالعمارة حزق يديل العدرك 
عبد العزيز للعلوم والتقنية والمنظمة العربية للترجمة» ويقع في إطار تلبية عدد 
من السياساته والعوضيات: التى تعتى باللخة: العربية #والغلزم : .وهتهاة 

أولا:البياة التغدافي: لنوضن القية العنى :اعدف الويا ضر 128 الى 
الاقم الذي يوك عور الأقعدام 'بالنقةا العريية وان تكون مي الح لبف 
العلني والدهاطالاه سي لصن على ماءزان» (رسرها عقون الله العريية لي 
جميع الميادين» بما في ذلك وسائل الاتصال» والإعلام» والإنترنت وغيرها). 


ثانياً: «السياسة الوطنية للعلوم والتقنية» في المملكة العربية السعودية التي 
انبدق غنها ‏ اعتماد إحدى عشرة تقنية إستراتبينية هي + المباه» والبترول والغاز. 
والبتروكيميائيات» والتقنيات المتناهية الصغر (النانو)» والتقنية الحيوية» وتقنية 
الجعتوعاف بز الا لك دزوقات بو الاسالاكف والسيفتاك» و تفاع لبان 
والطاقة» والمواد المتقدمة» والبيئة. 

ثالثاً: مبادرة الملك عبد الله للمحتوى العربي التي تفعّل أيضاً ما جاء في 
البند أولا عن حضور اللغة العربية فى الإنترنت» حيث تهدف إلى إثراء 
البلتكوى: العري ع ا عدهيع التتهاريم الى نادم بديية املك عه العويه 
للعلوم والتقنية بالتعاون مع جهات مختلفة داخل المملكة وخارجها. ومن هذه 
المشاريع ما يتعلق برقمنة المحتوى العربي القائم على شكل ورقي وإتاحته على 
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شبكة الإنترنت» ومنها ما يتعلق بترجمة الكتب الهامة» وبخاصة العلمية» مما 
يساعد على إثراء المحتوى العلمي بالترجمة من اللغات الأخرى إلى اللغة 
العربية بهدف تزويد القارئ العربي بعلم نافع مفيد. 

تشتمل السلسلة على ثلاثة كتب فى كل من التقنيات التى حددتها «السياسة 
الوطنية للعلوم والتقنية». واختيرت الكتب بحيث يكون الأول مرجعاً عالمياً 
معروفا في تلك التقنية» ويكون الثاني كتابا جامعياء والثالث كتابا عاما موجها 
إلى عاق المونين: وفنا يغظن ذلك كتاب واحد أو أكثر. وعليه» تشتمل 
متمذلة قدي قراف الوسر تيس قاو الهو علو ا سمو ع 014 تاتون 
كناب مترجماً» كنا حفمن كنات إضاق مشفره للمسطلحات العلمية والتقنية 
العم فى هله الناليدلك كيعهم: المعتطلت. 

ولقد جرى انتقاء الكتب وفق معايير منها أن يكون الكتاب من أمهات 
الكتب في تلك التقنية» ولمؤلفين يشهد لهم عالمياًء وأنه قد صدر بعد عام 
0 وأن لا يكون ضيّق الاختصاص بحيث يخاطب فئة محدودة» وأن تكون 
النسخة التي يترجم عنها مكتوبة باللغة التي ألّف بها الكتاب وليست مترجمة عن 
لغة أخرى» وأخيراً أن يكون موضوع الكتاب ونهجه عملياً تطبيقياً يصب في 
جهود نقل التقنية والابتكارء ويساهم في عملية التنمية الاقتصادية من خلال 
زيادة المحتوى المعرفي العربي. 

إن مدينة الملك عبد العزيز للعلوم والتقنية سعيدة بصدور هذه المجموعة 
من الكتب» وأود أن أشكر المنظمة العربية للترجمة على الجهود التي بذلتها 
لتحقيق الجودة العالية في الترجمة والمراجعة والتحرير والإخراج» وعلى حسن 
انتقائها للمترجمين المتخصصين» وعلى سرعة الإنجاز». كما أشكر اللجنة 
العلمية للمجموعة التى أنيط بها الإشراف على إنجازها فى المنظمة وكذلك 
زعلا" فى تدينة الندلك هيد العرير الوم والنعبية لدوم بنانترة نقيت مبادزة 
الملك عبد الله للمحتوى العربي. 


الرياض 1431/3/20 ه 
رئيس مدينة الملك عبد العزيز للعلوم والتقنية 
د. محمد بن إبراهيم السويل 


مقدمة المترجم 


الاقتصادٌ في العالم إلى اقتصادٍ يقوم على المعرفة. ويَننُجُ من ذلك أن المعرفة 
أصبحت هي الثروة وهي الأصول غير المادية فى هذه الثروة. والمعرفة تولّدُ 
وتخْدَّنُ وتنقل وتنشرٌ وتستثم. أما الأداة فى -هذا كله فهى تقنية المعلومات 
والأتصالاكة ولتعفاطة على هذ الكروة وسعيتها لأنذ من الامتياء بأمتها: 
يعالجٌ هذا الكتاب أمنّ المعلومات» وبالتالي أمنّ المعرفة أيضاً. يأخذ هذا 
الموضوع أبعاداً شتى ويدخل في حياتنا اليومية لتعاملنا اليومي مع المعلومات 
ومع المعرفة. 


كَنَبَ هذا الكتاب خمسةً من الخبراء الممارسين في هذا الموضوع في 
حقول الاقتصادٍ والتعليم والدفاع والأمنٍ والكياتة: والتفضة والمال وتترجه 
الكذات لي" لاس اسيل سارل تَجِنُْبَ الغوص في النواحي التقنية المعقدة 
لهذا الموضوعء, ولكنه يحيط بكل أبعاده. يخاطب الكتاب المدراء في القطاعين 
العام والخاص» كما يخاطب العامة ممن يستعملون الحواسيب والشبكات. 
ويُعرّف بمصطلحات هذا الحقل وأسسه الهامة ومبادئه على شكل نصائح 
وإجراءات يجب أن ينتبه لها الكل في القرن الحادي والعشرين 

إن أمن تقنية المعلومات أصبح بالغ الأهمية على صعيد الأفراد 
والمؤسسات والدول. كما يمس كافة أنشطة حياتنا الاقتصادية والاجتماعية 
والثقافية والسياسية والعسكرية والعلمية. يبين الكتاب أبعاد الموضوع التخطيطية 
والإدارية والتقنية والتنظيمية والبشرية. ينتهي كل فصل من فصول الكتاب بجدول 
نصائح يلخص الإجراءات المطلوبة. ويشتمل الفصل السابع والأخير على لوائح 
غنية بالمراجع التي يمكن العودة إليها للاستزادة والتعمق. 

لقد حاولت في ترجمة مصطلحات الكتاب» وهي عديدة نظراً إلى حداثة 
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هذا العلم» أن أشكل حقولاً دلالية نتجنب فيها استعمال نفس المصطلح العربي 
لأكثر من مصطلح أجنبي. فهناك القرصان والمخترق والكاسر والمتلصص 
والمتنصت والمقتحم والمعترض والمتطفل والمشمشم» والشركة والمؤسسة 
والمنظمة والوكالة» والحماية والأمن والسّرية والتأمين والخصوصية والوثوقية 
والسلافة + والنشوك: والتفاة والوتضؤل + والتؤوير» والغلاض» والعلفيق و الانسفان 
والاختطاف والسرقة والأذى والاحتيال والجريمة» والتحديث والتحسين 
والمواءمة والترقيع والتحيين» والحوكمة والإدارة والسيطرة والضبط والتحكم 
والهيكلة والإجراء والآلية» والمهددات والمخاطر والثغرات والتحديات 
والخللء» والمعايير والمواصفات والقواعد والقوانين» والتفخُص والتفتيش 
والمراقبة والتحقّق والتفقٌّد والتحرّي والتبيّن والتقييم والتدقيق» والحاسوب 
والمخدّم والمضيف والموجّه والمرشّح.ء والقياس والتكميم والحساب» 
والمنهجية والمقاربة والطريقة وإطار العمل والمنظورء وهكذا. 

لقد أضفت بعض الحواشي إلى شرح فقرات قد تكون غامضة أو خاصة 
بحالة الولايات المتحدة» إذ كانت أكثر الأمثلة التي أتى بها مؤلفو الكتاب من 
التجربة الأمريكية. كما أضفت فى آخر الكتاب لائحة بالمختصرات الإنجليزية 
مع شرحها بالعرية»بركالك في «المططالخات الاتحليزية' مع متابلاتها الغرية 
وبالعكس. هذا وقد وضع فهرس الكتاب باللغتين أيضا. 

وهنا أقدر جهود مدينة الملك عبد العزيز للعلوم والتقنية» والمنظمة العربية 
للترجمة في تبئي هذا المشروع الرائد والهام» الذي ينقل إلى العربية أمهات 
الكتب الحديثة في تقنيات استراتيجية ستشكل لبنة من لبنات التوجه نحو مجتمع 
واقتصاد المعرفة العربي وتساهم في زيادة المحتوى العربي المفيد والبنَّاء. 

في الختام» أود أن أشكر الآنسة فرح مراياتي التي ساعدتني في الترجمة» 
وكذلك عمر مراياتي الذي وفر علي الكثير من الوقت والجهد في طباعة أجزاء 
من الكفان, 

الرياض في 2011/3/15 
الدكتور محمد مراياتي 
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تمهيد 


إن التزايد اليومي في تكرار وتعقيد الهجمات المدبّرة على الشبكة» يؤثرٌ 
في الأنظمة والبيانات وفي دخول المستخدم فعلياً إلى موقع كل مؤسسة أعمال 
أوتقظلفة كوا ١ش‏ 


سواء أحدثت مصادفةً من قبل مستخدمين عندما يفتحون بريدهم 
الالكترونى اليومى» أو من قبل هجمة «الحرمان من الخدمة» المدبرة التى تجند 
عادة انمه أنظمة «الزومبي»» فان على مديري إدارة تقنية ا امد و 
الشركة أن يكونوا جاهزين للردّء وذلك لإبطال التهديدات التي تؤثر في توليد 
الربح وتسبب العمليات المزعجة لمستخدمي تقنية المعلومات عامة. قد يؤثر 
قرار أمن المعلومات» التى تمثل ممتلكات أو أصول غير مادية» فى العديد من 
الحالات» تأثيراً عاقيا كن نول الوكالة أو الشركة» وفي الاستثمار المخطط 
والربح المتوقع للمساهمين. 


إن هذا الكتاب موجَّهٌ إلى كبار الإداريين ولكلّ من يتعامل مع المعلومات» 
وقد كتِبَ من قبل مدراء مرموقين» ونح من قبل إداريٌ رفيع المستوى في تقنية 
المعلومات» مع مساهمات من خبراء من الصناعة ومن الحكومة. 


قُسّم الكتابٌُ إلى ثلاثة أقسام رئيسية تتعلق بمنظومة أمن المعلومات ألا 
وهي: نواحي الحوكمة أو الإدارة» ثم النواحي الهيكلية» وثالثا النواحي التقنية» 
متجنباً المصطلحات التقنية المعقدة إلا عند الضرورة. يقدّم كل قسم من هذه 
الأقسام الثلاثة نظرةً شاملة تتضمن المحاور القانونية البشرية والمالية 
والاتصالاتية والمخاطر المحيطة واستراتيجيات الإدارة والمحاور التقنية لحماية 
أنظمة الاتصالات وحواسيب تقنية المعلومات. 
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لقد وضع إطارٌ أو جدول في نهاية كل فصل لمساعدة الإدارة في اتخاذ 
القرار بشأن التوازن أو الموازنة بين: الاستثمار والأمن والنفاذ إلى المعلومات 
والالتزام بالقانون. وتوجد في نهاية الكتاب قوائمم مرجعية لمصادر معلومات 
متاحة للعامة مرتبطة بأمن تقنية المعلومات. 

يمكن للإداريين ومدراء الشركات التنفيذيين أن يختاروا نشاطات الدعم 
والاستثمارات قصيرة وطويلة الأمد المطلوبة لأمن بناهم التحتية الحاسوبية» 
مستخدمين فى ذلك هذه الأطر أو الجداول الموجودة فى نهاية فصول الكتاب 
لاتخاذ قرارات أفضل. تصف هذه الأطرء المبتكرة لاتخاذ قرار الموازنة» 
الإجراءات والأعمال التي تحمي بفاعلية النفاذ إلى النظم والمعلومات في عالم 
التحدي والتغير السريع» وذلك من خلال تقديم أفضل ممارسات محترفي تأمين 
المعلومات ومستشاري الأمن في الحكومة والصناعة. 

يناقش فصل النظرة التنفيذية الشاملة مفهوم الأمن كعملية» وهو مفهوم قد 
أكسب اهتماماً خاصاً داخل مجتمعات الأمن وتقنية المعلومات. تتضمن 
المواضيع العديدة» التي استعرضها الفصلء العالم الجديد لأمن تقنية 
المعلومات» والقيمة المتزايدة باستمرار لممتلكات (أصول) المعلومات» 
ومسؤوليات وتحديات الآمن أمام الإدارة العليا ورؤساء المؤسسات اليوم. 


يستعرض القسم الأول قضايا الحوكمة في أمن تقنية المعلومات» بما فيها 
مسألة الموازنة بين خصوصية الموظف والنفاذ إلى المعلومات» وسياسات 
الأمن الإدارية» والنواحى القانونية» واستراتيجيات إدارة المخاطر والوثوقية 
بالأنظية المعو 3 


يطرح القسم الثاني قضايا هيكلة منظومة أمن تقنية المعلومات. وذلك 
ابتداءة من بناء مصفوفة التهديد. يزوّد القسم بعد ذلك تفاصيل حول ملاءمة 
الهيكلية مع اتفاقيات مستوى الخدمة» ومع إنشاء حواجز الحماية متعددة 
المستويات» ومع كشف التهديدات الداخلية لعمليات أمن تقنية المعلومات. 
يناقش القسم أيضاً منهجيات التخطيط لتجنب الكوارث. 

يركز القسم الثالث على قضايا تقنية تتداخلٌ معَء وتدعمُ قضايا الحوكمة 
وقضايا النواحي الهيكلية. تستحوذ مقومات التقنية على نسبة كبيرة من 
استثمارات أمن تقنية المعلومات ويحتاج الإداريون فهم كيفية تطبيق التقنية» 
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وكيفية عملهاء وسبب الغلاء الكبير لتشغيلها وصيانتها. يستعرض هذا القسم 
حماية برمجيات 0015» ونظام حفظ واسترجاع البيانات» والتخطيط 
للاستمرارية» وتقادم البيانات» والمميزات البيولوجية في التحقق من الهوية. 
والبطاقات الذكية» وتخزين المعلومات. واحتبار اختراق أمن المعلومات. 

تُعَدُّ مراجع مواد الكتاب مؤشرات لمصادر أمن المعلومات المتاحة 
علانية. وبما أن هناك تطورات كبيرة متوقعة في المبادئ التقنية والتشريعية في 
السنترات! الحتيلة4 قات الهودة دوريا إلن 7 المراجع بدافع التحديث - 
صائب ونافع. 
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00 


إن كتب التقنية والأمن عبارة عن مساهمات جماعية من وجهتي النظر 
الإدارية والتقنية. 


لقد حَظِيَ كتاب أمن تقنية المعلومات: نصائح من خبراء بتنقيحات 
تحريرء وبمساهمة من الكثير من خبراء هذا المجالء الذين أعطوا بسخاء من 
وقتهم ومعرفتهم. 

إن الأشخاص الآتي ذكر أسمائهم قد قدموا إسهامات في هذا الكتاب أو 
نقحوا جميع أجزائه أو 00 منه : 


روبرت 0 لوري» مدير سابق لخدمات التصميم بمساعدة الحاسوب» و 
شركة تي آر دبليو 78378 المحدودة ‏ نورمان ج. شويتزرء كبير مدراء شركة 
14 دل المحدودة ‏ دوغلاس بيورفانس » مسؤول ورئيس الإدارة التنفيذية» 
شركة التجارة العالمية الالكترونية - جون ويبل» كبيرمدراء المشروع» شركة ديل 
للحواسيب 1اع(ا - دوروثي نولان» مسؤول ورئيس الإدارة التنفيذية لشركة 
أوفيكس - غوردون كاستيان» مسؤول ورئيس الإدارة التنفيذية في شركة سباين 
العالمية - تيموثي سلوسرء نائب الرئيس» القطاع الفيدرالي سي إس سي - كيفن 
كبللئ مسؤول البر امج في برنامج التحالف «برايم» - آرون فيلبس »2 مدير 
احتان النظاء والعبدليات ب تيد بزيو»» :مدير مشروع :آم اي اف اجون مكيناء 
مدير عمليات هندسة الأنظمة» برنامج التحالف «برايم» - ستيفن بروكتور» نائب 
المدير» برنامج التحالف «برايم» لهندسة البنية التحتية - ريتشارد فوشت» مدير 
مكتب الخصوصية والحماية» برنامج التحالف «برايم» وو جون بوليتسن؟ مدير 


لهؤلاء الأشخاص ولأخرين قد أكون قد أخفقت في إعطائهم الثناء الذي 
يستحقون: لقد كانت أفكاركم واقتراحاتكم وإرشاداتكم» طيلة سنوات» قيّمة 
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للغاية وتقدر إلى حد بعيد. إن أي خطأ أو إغفال هو بالطبع من اقتراف يدي. أرجو 
إعلامى بالأخطاء عبر البريد الالكترونى (22ه11155001©01.0) وسوف أبذل 
قصارى جهدي لتصحيح الأخطاء المطبعية في النسخ المعدلة التالية للكتاب. 


يتوجبّ علي أيضاً التعبير عن شكري للمساهمين الرئيسيين الأربعة في هذا 
الكتاب: كريسان هيرودء تشارليز ريكسء كليفتون بوول» وكريج إي. كوشر. 
لقد كانت نوعية المحتوى الذي قدموه والتزامهم بالمواعيد غاية في الدقة» 
وذلك على الرغم من المسؤوليات العظيمة تجاه وظيفتهم الطبيعية في جامعة 
الدفاع الوطني في مقاطعة واشنطن. 

من وجهة نظر الإدارة العلياء ستكون التغيرات في مستقبل أمن تقنية 
المعلومات محبطة ومرضية على حدّ سواء. ا ل 
التقارير والمتطلبات مفصّلةَ خروقاً أمنية ورقع برمجيات ولكرات» إنه م مط 
لكلا محترفي الأمن والهيئة الإدارية التنفيذية» أنه مهما طَوّرت الأساليب 
الدفاعية واشتريت وثبتت أو شغلت» فإنها سوف تُخرق أو تُهزم مع الوقت من 
قبل أناس أذكياء أو من قبل مقومات التقنية التي يساء تطبيقها. 

من ناحية أخرى» إن النجاح في منع الأشخاص المحظورين والهجمات 
الاقتحامية من التأثير في المعلومات والأنظمة والشبكات والأبنية كل يومء 
وكذلك الفجاع “فى اس عمل اموس بدون توقفء هما أمران يفتخر بهما 
حِرَفِيَاً. إن الهدف بالطبع هو تحقيق نجاح مؤكد 100/ في أمن المعلومات وفي 
الأنظمة والشبكات ‏ لكنه عمل صعب ومليء بالتحدي. 

متدتياً لكلم النجاح الدائم في حماية ممتلكات (أصول) أنظمتكم وشبكاتكم 
ومعلوماتكم أربعاً وعشرين ساعة على مدار الأسبوع. 


لورنس م. أوليفا 
ريستون». فيرجينيا 
شباط/ فبراير 2004 
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الفصل الارل 
نظرة تنفيذية شاملة 
لورنس م. أوليفا 


العالم الجديد الدائم لأمن تقنية المعلومات 


إن اجتماع العديد من الأحداث المرتبطة ببعضها البعض» بما في ذلك اتساع 
التطبيقات غير المحمية المتصلة بالإنترنت» والحرب الشاملة على الإرهاب 
العالمى» والتأثيرات المالية الكبيرة لسرقة الهوية والمعلومات» جعل من أمن تقنية 
المعلرماات. عام ا تغؤهزرا لحك لخطط فيه العاودات الجكوقة والحامية: 

يقوم مثالان اثنان خلال عام 2003م بشرح نطاق مشكلة الأمن وكلفته. 
حيث: ازدادت الاعتداءات على شبكات الاتصال الالكترونية #هملإه بنسبة 1/40 
فى الفضؤل الثلاثة الأولى من السنةء. .وقدُوت: تكلفة تطهير الهيجمات المتعددة 
و و«الدودة» أثناء صيف ذلك العام بنحو 3.5 بليون دولارء وذلك وفقاً 
لمركز التنسيق 15817©». وهو مركز مراقبه حماية شبكات الاتصال الالكترونية. 

لقن اتسعت: استزاتيجيات الأمة الداخلية نظزا إلى تشابك عوامل الوتوقية 
والأداء والمقدرة» وتجاوزت موضوع إبقاء قراصنة الإنترنت والمتطفلين بعيداً 
عن المستخدمين الموثوقين من خلال التحقق من الصفات البيولوجية للمستخدم 
وعوامل أخرى» ومن خلال تعقب الدخول المباح داخل ما يسمّى ب «جدران 
النار؛ من قبل مستخدمي النظام»ء ومن خلال التحليل الكاشف للبرمجيات 
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المدمرة. وعلى أية حالء» إذا ما أخذنا بعين الاعتبار القيود الاقتصادية 
الموضوعة على نفقات الشركة» فإن الجهود المبذولة فى أمن المعلومات كانت 
غال] كزيلة تسد وساسوة سد لورقت المضع فيه التصومين نمف الرمفيل 

إلى أصول المعلومات. 
إضافة إلى التعقيد التقني لموضوع أمن المعلومات» توجد قضايا قانونية 
تتعلق بخصوصية المستخدم» وقضايا المسؤولية القانونية حيال ضمان عدم 
سرقة سجلات ومعلومات الزبون» والالتزام الحكومي بالقوانين مثل!* 
2 5 1 1 د ,54121121, 14,2125 ,84,1014 .1ن ,ذخخ2 111 
.(عخث 11101خ2 خ.د. ل١)‏ عطا مد 


من جهة أخرىء فهناك. إضافة إلى العمليات والخطط طويلة الأمدء 
نشاطات آنية مباشرة لمجابهة الهجمات الواسعة على النظام والشبكة تقوم بها 
برمجيات خبيثة (تدعى 21319856) مثل الديدان» والفيروسات» وأحصنة طروادة 
وأنظمة «الزومبي». 
ونظراً إلى أن وثوقية التقنية الحديئة قد رَفَعت من توقعات المستخدم إلى 
تَطلّب وجود الخدمة أربعاً وعشرين ساعة على مدار الأسبوع» فإن مستوى 
التعقيد الإداري المتعلق بتلك الدرجة من الخدمة قد تطلب استثمارات أوسع في 
التجهيزات» وعدد موظفين أكبر» ووعي بالغ لنتائج كل قرار يُنَحْذ فيما يتعلق 
بأمن تقنية المعلومات. 
لق ا جد وود واد عدو مسقي لبه رانف كي عل فرعيس اسقير ابي 
مع المسؤوليات المقترنة بذلك - في مواضع مختلفة عديدة خارج مجتمع تقنية 
المعلومات التقليدي. 
إن هذا المستوى المضاف في تعقيد الإدارة قد اعثُرفَ مؤخراً بأهميته وتأثيره 
في مجتمع تقنية المعلومات نظراً إلى ضغط مواعيد الإنتاج والتسليم المحددة. لقد 
جرى إقرار العديد من القوانين المؤثرة بشكل غير مباشر في مجتمع تقنية 
المعلومات منذ 11 أيلول/ سبتمبر 2001. ولا يزال تأثير هذه التغيرات يحدد من 
قبل رجال الصناعة ورجال القانون» وما يترتب على ذلك من نشاطات التدريب 


(:) هذه مختصرات لقوانين صادرة في الولايات المتحدة تتعلق بأمن المعلومات» وسيأتٍ ذكرها لاحقاً في 
فصول الكتاب. 
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المطلوبة لتحقيق الوعي الكامل والالتزام من قبل كل الجماعات المتأثرة. على أية 
حال فإنه لأمر واضح بأن أنشطة أمن الأنظمة وأصول المعلومات ستحتاج إلى 
الزيادة زيادةً كبيرةً كى تستجيب لهذه القوانين الجديدة» وإلا فإن المنظمات 
والمؤسسات ستتحمل غرامات مالية واتهامات قانونية بالتقصير. 


الأمن بوصفه عملية 


لم يعد أمن تقنية المعلومات مجرد حدث أو مهمة مؤقتة بالنسبة إلى 
المنظمات الحكومية والخاصة. لقد أصبح عملية مستمرة في كل ثانية من كل 
يوم من وجهة النظر التقنية والإدارية. إن معظمٌ المدراء التنفيذيين في الشركات 
الصغيرة لا يزالون غير مدركين أن «جدار النار» الخاص بشركتهم يُسبَرُ مئات 
اتعرات فى 'اليوم من قبل أدوات' انطو الآليةء كما تبتر تجدران الثار) 
الحكومية وتلك الخاصة بالخدمات المالية غالبا عشرات آلاف المرات كل يوم. 


إن أدوت السطو هذه والعديد منها متوفر مجاناً عبر الإنترنت يمكن أن 
توظف ضد ملايين الأنظمة بضغطات قليلة من الماوس (الفأرة). وحالما تجد 
هذه الأدوات نظاماً غير محمى» أو نظاماً محمياً بشكل ردي تقوم بتسجيل 
عناوين ال 18 (بروتوكول الإنترنت) ومعلومات أخرى مفيدة للقراصنة 
والمخترقين في استغلال النظام أو الشبكة للحصول على بيانات قيمة. يمكن 
للقراصنة أيضاً أن يحؤّلوا النظام إلى نظام «زومبي)”* أو الحرمان من الخدمة 
(265©) لإغراق الأنظمة المستهدفة بملايين الرسائل وإضعاف قدرتهم على 
معالجة المعلومات المباحة ونقلها. 


تشتمل إجراءات الأمن القوية على طبقات عديدة للوظائف التشغيلية بما 
فيها التالى: 


© نقاط داخلية وخارجية للسيطرة على النفاذ أو الدخول إلى النظام مثل 
«جدران النار» (من تقنيات أمن المعلومات) 


1000 قوي من هوية المستخدم عند طلبه النفاذ أو التحميل. 


(#) تستعمل برامج حاسوبية خبيثة للسيطرة عن بعد على حاسوب مستهدف وجعله يأتمر بأوامر 
القرصان» ويسمى عندها الحاسوب المستهدف «الزومبي» أي الحثة المسيّرة. 
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© مراقبةٌ وتسجيلٌ النفاذ إلى كل من شبكة المستخدم» والنظام: والمعلومات. 


تطبيقٌ عمليات تعمية (تشفير) البيانات» كلما كان ذلك ممكناً. 

استخدامٌ شركاءَ معتمدين موثوقين عند تبادل البيانات. 

التنصيبٌُ الفوري لرُقَع البرمجيات المتوفرة حالياً. 

تدريبُ المستخدمين الخارجيين والداخليين على أجهزة التحكم بكلمة 
الدووئ و نالشاة" معطو إلى 'المعلرماة: 

الأمنُ المكاني لغرفٍ التجهيزاتٍ وأنظمة استرجاع بيانات البرمجيات» 
سِبَاسِنَات إدارة الاستخدام المسموح والمحظورء ومراقبة الإدارة» 
ومتطلبات خصوصية المستخدم. ١‏ 

عمليةٌ تحليل السبب الرئيسي وراء ما حدث» عندما تقع الأحداث غير 
المتوقعة. 

خطةٌ شاملةٌ وآمنةٌ لاستعادة الخدمة والمعلومات يمكن إطلاقها فوراً 
عندما تقع الكارثة. 

سلسلةٌ هرم المسؤولية الإدارية لكبح المشاكل الصغيرة سريعاًء 
ولخصيضن الحؤارد. لحل ١‏ المشاكل. الأكبر سرعة. 


تبنى هذه الطبقات فوق بعضها البعض تدريجياً وبشكل متعاضد لخلق بنية 
الأمن“على سبيل المكاك تسعطيع»سياسة قوية للمحقق من 'الهوية مُث 
المستخدمين المجهولين من تحقيق النفاذ إلى الشبكات والأنظمة:» أما 
المستخدمون المعروفون فيستطيعون الدخول وإنجارٌ عملهم مع وجود نظام رقابة 
وتفتيش آليّ حول ما قاموا بعمله ومتى قاموا به. تُقَبِلُ البياناتٌ من المصادرٍ 
الغارجية"الموقوفة :تفط لمتع “الث فراعف اليناف محلوهات مد فه يشكل 


قيمةٌ أصول المعلومات 


تشكل البعلوسات قيقة التالكيها ولسيتعدميها ولأنظعها الآذية الب 
يفترض أن تستخدمها وللوكالات الحكومية التي تنظمُ النفاذً إليها. فعلى سبيل 
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المثال: لم تكن مخازن 08/81-86856”*' لتستطع العمل بفعالية لولا إنشاؤها 
مستودع بيانات بسعة 30 تيرابايت يُتابعٌ التكلفة» والربح» والمدة الزمنية لتخزين 
المنتج» وحسابات أخرى متعلقة بكل منتج تمّ بيعه» وذلك في كل مخزنء 
خلال السنوات الخمس الماضية. 

ما كان لشركات الطيران العالمية والمحلية الرئيسية أن تستطيع أن تجدول 
وتقوم بملاحة الطائرات ببلايين الدولارات بشكل فعَال» ولا أن تُشْغْلَ نماذج 
تعظيم دخلهمء لولا استخدامهم قواعد بيانات معقّدةٍ وأنظمة المعلومات التي 
تقدّرُ تكلفة استبدالها بأكثر من عدة بلايين من الدولارات. 

إن خطة معنن حنتا قات لزيد اك وراتدرد ا تفوقال كاوه متاسدرة: و ايفان 
اكسبريس» تبنى حول ججمع بياناتِ استخدام البطاقة» ومتابعة الحسابات» 
وتحليل الغش» وإرسال الفواتير للزبون» ومعلومات استلام المبلغ» وذلك كله 
من أجل مئات الملايين من بطاقات الاثتمان والشراء. إن القيمة الإجمالية 
لقواعد بيانات هذه الشركات وأصولٍ معلوماتهم تقدر بمئات البلايين من 
الدولارات - أكثر من الميزانيات السنوية لجميع دول العالم باستثناء الولايات 
المتحدة الأمريكية واليابان. 

إن المؤسسات التجارية» المشاركة فى سوق المالٍ وفى المنشآت المالية» 
لن تكون قادرةً على فتح أبوابها ما لم تملك الثقة بدقة المعلويات المستخدمة 
في إدارة المؤسسة ومعرفة قيمتها وتقدير الأرباح العائدة منها. فالمعلوماتُ 
الدقيقةٌ والموثوقة هي دعامةٌ مركزية لشفافية السوق وثقة المستثمر. 

من 'أين: تمك التعلوعات قيمتها؟ جرينا مد كوئة: قادرا على الاستفادة 
فنها كثيرا امم أجل تخفيق: قوائد هالية وتخليلية وإدارية والجعمافية وتشهيلية: 
تزداد قيمة المعلومات عندما تُجمعُ وتُثبِتُ كمعلومات دقيقه. وذلك في كل مرة 
تحدث فيها عملية تجارية ناجحة أو استخدام ناجح» ويتراكم تزايد هذه القيمة 
لأن كل عملية تجارية ناجحة تؤدي إلى عملية تجارية ثانية وبعدها ثالثة». 
الخ» طوال الوقت. فالصفقةٌ الواحتدةٌ ببيع مئة سهم على سبيل المثال يمكن 
أن تتسبب بصفقات شراء أسهم أخرى». وبصفقات لبضائع رأسمالية مثل 
السيارات» أو الشاحنات» أو الطائرات» أو الممتلكات» والتي مع مرور الوقت 


(:) وهي كبرى محلات التجزئة الأمريكية. 
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ستطلق صفقات لموجودات أخرى» ولصيانة وحفظ المركبات والممتلكات» 
ولتوظيف كوادر بشرية. تفيد المعلومات الدقيقة» عندما ينظر إليها من الناحيتين 
المالية والتجارية نظرة شمولية من البداية إلى النهاية» في الحصول على 
الكسب المالي القائم على التعاملات أو الصفقات» وعلى الاستفادة من 
السدوتهة وعن اتا ناه الدبوقة الساسل وهلي الشواكاف التساويية الى 
ستكون معقدة أو غاليةً التأسيس بدون هذه المعلومات. ْ 


تبلورت الفكرة التي تقول بأن للمعلومات قيمة كبيرة من قبل الدكتور 
ديفيد نو لان في مقالته في مجلة «ءزرءغ! دوهساسظ #مدمهم في عام 1982 ,صقاها<) 
(1982» وتُفحَت من قبله ومن قبل آخرين منذ ذلك الحين. قدم نولان عام 2001 
الفكرة القائلة بأن قيمة أنظمة المعلوماتء. بالنسبة إلى المنظمات» تزداد عبر 
سلسلة من «مراحل» تطور التقنية ابتداة من عهد الحاسوب المركزي الضخم عام 
0 إلى عام 1980 إلى عهد الحاسوب الصغير من عام 1980 إلى عام 1995 
وإلى عهد الشبكة (الإنترنت) اليوم. إن القدرة على توسيع استخدام المعلومات 
لأغراض نافعة» وغير متوقعة أحياناً» تَنتحُ فى 'التغيرات النقية: كن ترون بان 
200 استخدمت الإنترنت لتتفاعل مع 400,000 زبون لتجريب نسخة 
«(بيتا» من برمجيات «ويندوز 95). إن الاستجابة للملاحظات المستلمة من هؤلاء 
يس ل ا ل ل ل ا 
المنتج قبل إطلاقه الأخير ذ فى السوق. إن تَوفْرَ إمكانية استخدام الإنترنت كنظام 
توزيع» و كوسيلة اتضالاف اياده “كلك تر قر انكلو سني امامل مقن 
أتاح لشركة مايكروسوفت اختبار نسخة «البيتا» من قبل عاك الكلات من 
الأشخاص - في حين تضمنت تجربة الإصدارات السابقة نسبة ضئيلة من 
الزبائن+ وبالتالي. لم :تحظ يبيئة:الحتبار متعددة كالتي حظئ بها نظام ويندون 95 

بينما يتفق معظم كبار المديرين والمدراء التنفيذيين على أن المعلومات تملك 
قيمة فعلاء إلا أنهم غالباً ما يحسبون هذه القيمة على أساس تكلفة جَمعِها وصّونها 
وإدارتهاء بدلا من القيمة المتوقعة التى ستكسبها المنظمة من خلال الاستفادة من 
المعلومات لتحقيق أهداف الشركة ودعم حاجات زبائنها بطرق غير مخطط لها 
مدنا نان نيل الكال: تستيخدم الآن. شركي اكيت وي) ولديل )0 عات 


(6) 12611 0ه2 :ه026 وهما من كبرى شركات الحاسوب. 
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الآصل مصنعي حواسيب شخصية) قواعد بيانات الزبون الضخمة لديهم» لتسويق 
كاشات علق الباذزناء: والحطياته الرقينة المتدضةة“وتسجالات الموسيق. 
الرقمية» ومنتجات أخرى لم يُخطّط لها في نماذج عملهم الأصلية. 

هدف العديد من مبادرات الحكومة الالكترونية» منذ عام 1996» إلى 
توسيع قيمة المعلومات الحكومية المتراكمة وزيادة الاستفادة منهاء فعلى سبيل 
المثال» لقد أنشئ العديد من البوابات على شبكة الإنترنت من قبل الحكومة 
الفيدرالية للولايات المتحدة لإتاحة وصول المواطنين إلى معلومات مثل: إعادة 
مال الضريبة» وفرص التعاقد. ومعلومات حجز مواقف السيارات» ومعلومات 
إجازات وتراخيص السواقة» ووضعية التشريعات قيد الإعداد». والبيع والتوزيع 
الالكترونى للمنشورات الحكومية» والعديد من الخدمات الأخرى. إن إدراك 
إفكانية معريل العاتات العكرفية إلى كعاملات الكدرورية؛ تعاادى الى 
الانتفاع من قواعد البيانات الحكومية عن طريق بوابات نفاذ متوفرة طيلة 24 
ساعة وعلى مدار الأسبوع بدون زيادة التكاليف الثابتة التقليدية من موظفين 
ومكاتب وأنظمة اتصالات. 


قد تملك الشركات والمنظمات الصغيرة أيضاً قيمةً كبيرة في المعلومات 
التي لدى شركائهم وزبائنهم» فبإمكان صانعي السلع والخدمات الفريدة» أو 
مزوديهاء أن يستفيدوا من المعلومات حول أولويات الزبائن أو احتياجاتهم 
لخلق أسواق جديدة للشركة» كما فعلت شركتا «ديل» و(غيت وي). وقد تدمج 
المعلومات» بعد جمعها والتأكد منها لهدف معين» مع قواعد معلومات الآخرين 
المتوفرة تجارياً وذلك لمعرفة توجهات السوق مع الزمن ولمعرفة فرص تسويق 
منتج من فرص منتج آخر. على سبيل المثال: قد يشتري صانعو البيانو قاعدة 
معلومات من صانع جهاز تسجيل الصوت عالي الدقة ليروا ما إذا كانت الزبائن 
ترغب بتسجيل معزوفاتهم الموسيقية. يهتم صانعو بطاريات آلات التصوير 
الرقمية والهواتف النقالة كثيراً فى قواعد بيانات الزبائن المتوفرة لدى مخازن 
آلات التصوير وشركات كتوق إن شركات التأمين التي تمنح «بوليصات» 
التأمين ضد التخريب والسرقة لهذه المنتجات ستكون مهتمة أيضاً في أيّ من 
هذه المعلومات. ْ 

إن الفكرة القائلة بأن للمعلومات قيمة هي فكرة مهمة جداً بالنسبة إلى 
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الشركات والحكومات. فإذا كانت للمعلومات قيمة ضئيلة (أو لا قيمة لها أبداً) 
بالنسبة إلى المنظمة التي تقتنيها أو تجمعهاء فسيكون هناك مبررٌ ضعيفٌ لتقوم 
هذه المنظمة بإنفاق الموارد لحمايتها. إذأ فإن القيام بتحديد قيمة معلومات 
المنظمة هو مسؤوليةٌ إلزاميةٌ بالنسبة إلى المدير التنفيذي أو الإدارة العليا باعتبار 
أنه يترتب على هذا القرار العديد من الأفعال حول تحديد أو إباحة النفاذ إلى 
المعلومات» والأنظمة والشبكات. إن المهم ليس تحديد القيمة الدقيقة 
للمعلومات بل تحديد وجود قيمة (كثرت أو قلّت) تَجِبُ حمايتها من الفقدان أو 
سوء الاستخدام أو الإفساد. 


تحديات ومسؤوليات وأمن المعلومات 

مع التزايدٍ المستمرّ للتعقيد التقني» والمصاعب القانونية» وتوقعاتٍ حماية 
الخصوصية» ارتفعت تحديات أمن المعلومات بشكل متسارع خلال السنوات 
الخمس الماضية. إن الانتشارٌ الكبيرَء مع نهاية التسعينيات من القرن الماضيء 
في استعمال التطبيقات المعلوماتية القابلة للعمل مع الإنترنت (0ع[طهمع-مء:هم» 
وتزايد حصة هذا الانتشار في سوق الأسهم. غالباً ما دفع بمرتبة عمليات أمن 
المعلومات إلى مستوى الأفضلية الثانى أو الثالث. يستمر العديد من الأنظمة 
المالية وواجهات نفاذ المستخدمين للنظم الحاسوبية» التي تحتاج إلى أن تكون 
محمية بشكل عال» باستخدام كلمات سر مؤْلفةٍ من ستة حروف» وذلك بسبب 
الخلاف المستمر ضمن صناعة الحاسوب حول الموازنة بين درجة حرية 
المستخدم وحماية النفاذ للمعلومات. 


إن الجريمة الحاسوبية الانتهازية هي الآن مجرد ضغطة أو ضغطتين على 
لوحة مفاتيح الحاسوب وهي في متناول أي شخص يستطيع - وغالباً يفعل - 
تخنيي أدوات فطع مناحة متدانا قلى: شبكة الاكرنت: إن ميندبى ام 
المعلومات على دراية بكيفية عمل هذه الأدوات» كما أن الشبكات لحف 
والفعية بلك ,حر سطع جاده تاق حت توه عند المشيوى الأول ل «جدار 
النار». أما الشبكات التي تبنى بشكل غير صحيح؛ أو لا تَطْبَّقٌ آلية دائمة 
لدازرقق البرامع؟ أو أنها غير موائمة بشكل مستمر - تذكر بأن الحماية عبارة 
عد عيدلية شمر و لسسعف بعاد كا اموه ة واحدة ‏ فإنها نُهِاجَمْ غالباً بنجاح مع 
إتلافٍ المعلومات أو الحصول عليها بشكل غير شرعي. 
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تتضمن التحديات التي تواجهها إدارات تقنية المعلمات ما يلي: 

1. مُعرفةة من يمكن له ومن لا يمكن له الوصول إلى المعلومات» 
والأنظمة والشبكات. فأحياناً قد لا تُبَلُغْ سجلات الموظفين الدقيقة بسرعة إلى 
إدارة تقنية المعلومات» أو لا تُحمَّظ على الإطلاق في أحيان أخرى» مما يؤدي 
إلى قرار السماح بالنفاذ (أي) «الترحيب» الخاطى. 


0 عَدَمَ فهم الفرق بين العديد من تقنيات أمن المعلومات المختلفة 
والمتفيارية أننانا. والمفردوة مق به العدية من الشر رديت 


3. تَرَْبَ صدور معايير أمن معلوماتٍ شاملة متفقٌ عليها من قبل جميع 

ف التحافظلة على مدر هدس [الانشجابة السريعة هد المدروييات» 
والديدان» وأحصنة طروادة» وهجمات الحرمان من الخدمة (205)» بالإضافة 
إلى التفخخص المستمر للشبكة وللنفاذ إليها من القراصنة والمخترقين الذين 
يحاولون الوصول إلى المعلومات القيّمة. 

5. تطويرَ وصيانة سجلات إدارة هيكلية منظومة المعلومات المتعلقة 
بمستويات «ترقيع» برمجيات أمن المعلومات» وذلك لكل من الأنظمة الحساسة 
وغير الحساسة. 


6. معرفة أين يجب تطبيق «رُقَع) البوئجيات ولاك من أجل الحميول على 
أفضل النتائج لتقليل تأثر نظام المستخدم أو نظام الإنتاج بالهجمات» على سبيل 
المثال: إن أنظمة البوابات الموصولة مع الشبكات العامة هي عادة خط الدفاع 
الأول» ويجب أن تملك المستويات الأحدث للبرمجيات» مقارنة» مثلاء 
بالنظام المكرس لطباعة بطاقات الترميز بالخطوط على خط إنتاج البضائع. 
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والأنظمة. 


8. معرفة من يمكن أن تثق به من المزودين والشركاء والزبائن من أجل 
تزويدك بالمعلومات. فليست كل المعلومات سواء ‏ فقد تحتوي مرفقات البريد 
الالكتروني على فيروسات أو ديدان» وقد تحتوي الصور على رسائل محشوة 
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(تعمية معروفه ب '51683208121). ومن الممكن أن تحتوي الملفات «القابلة 
للتنفيذ» على «أبواب مفخخة) أو «قنابل موقوتة). 

9. جذب مهندسين مؤمّلين في أمن المعلومات واستبقائهم من خلال 
تحديات شخصية وتعليمية. 

0. توفير ميزانيات كافية من أجل مزودي الخدمة والموظفين والأجهزة. إذ 
إن أمن المعلومات مطلبٌ يومئٌ من متطلبات العمل مثل إبقاء الأضواء مشتغلة 
والهواتف شغالة. 

تستمر التحديات القانونية بالازدياد مع بداية فهم المحامين لعناصر التقنية 
والآثر المالي والتشغيلي الذي ينتج من فقدان معلومات قَيّمة لصالح مستخدمين 
غير شرعيين. يلام مطورو التقنية والمجهزون ومزودو الخدمة» باستمرار» لعدم 
تصميمهم أنظمة أو برمجيات آمنة» ولعدم التخطيط لمواجهة جميع سيناريوهات 
الأمن الممكنة. كما أن إدارة تقنية المعلومات تلام لعدم قيامها بكل ما هو 
ممكن لتوظيف أفضل الوسائل الدفاعية ضد النفاذ المحظور أو فقدان 
المعلومات. يلام المستخدمون المهملون أيضاً على فقدان أو مشاركة كلمات 
السَّره والمعلومات الأمنية» وهوية المستخدم. مخالفين بذلك سياسة المنظمة 
أو الشركة» وبالطبع فإن القراصنة ‏ عندما يعثر عليهم ويتم تحديدهم ‏ يعتقلون 
ويزجون في السجن. 

ومع ظهور جرائم الحاسوب الخطيرة بشكل أوسع فأوسعء يتزايد اللوم 
على الإدارة العليا والإدارة التنفيذية لتقنية المعلومات» وغالبا ما يقال: «كان 
عليهم أن يعلموا أن حدوث هذا أمر محتمل». وإذا ما أخذنا بعين الاعتبار تزايد 
سرقة الهوية والمعلومات عالمياًء فإننا نستنتج بوضوح أن من الواجب على 
إدارة تقنية المعلومات أن تخطط لسيناريوهات الحالة الآسوأء بالرغم من أنها قد 
تكون قليلة في العدد. 

من ناحية ثانية يجب على الإدارة العليا والإدارة التنفيذية لتقنية المعلومات 
أن تستبقي على وضعية التيقظ في كل ما يمت بصلة إلى أمن المعلومات باعتبار 
أن !في التسية ال السروقة الماسسة عاد كن فادسا الل ورافنه والوطية مداعييت 
فقدان ثقة الزبون» والمعلومات غير الموثوقة» ونفقات إصلاح ما حدث. 


يُشكل التزوير المتعلق بالإنترنت أكثر من 55 / من بين ما يزيد على 
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0 شكوى زبائن سجلتها «المفوضية التجارية الفيدرالية الأمريكية» في عام 
3. ووفقاً لهذه الوكالة» يشكل ذلك تزايداً بنسبة تربو على 45/ عن عام 
2م.. تَذْكُرُ الوكالة أيضاً أن متوسط حسارة ضحايا التلاعب المتعلق بالإنترنت 
كانت 195 دولار. وكانت سرقة الهوية الرقمية أكثر الشكاوى شيوعاً للسنة 
الرابعة على التوالي ممثلة 42 من جميع الشكاوى في عام 2003 (2004 ,©51). 


لسوء الحظ فإن مسؤوليات الفريق التنفيذي لتقنية المعلومات» المتعلقة 
بالمحافظة على المعلومات الشخصية والمدنية والمشتركة» تستمر بالاتساع من 
خلال التشريعات الجديدة» وتوقعات قوى السوقء» والغرامات التى تفرضها 
المحاكم. فعلى سبيل المثال: منذ عام 1996 أصدر الكونغرس لع العديد 

من القوانين بما فيها: 1016511 24آ0184,210.2.16.2816111)51,خط<11105]] 
[/8-51011 رالالى :5216225-01 ,(400111118 111011111 التى تحدد كيفا يجب 
أله وى المعار ناك تن اله سحدي قفن الفرعهينة وا أذ كف يجري ضمان 
شفافية وصحة المعلومات المعتمدة. 


في عام 2003م بدأ قانون «لا تتصل هاتفياً» بالتطبيق مانعاً اتصالات تسويق 
السلع التي تجري بواسطة الهاتف عن معظم الشركات الخاصة التي لبسن: النهنا 
علاقة قائمة مع الزبون تبرر الاتصال. لقد أقنعت القوى المناهضة لطريقة 
التسويق عبر الهاتف الكونغرس للتغلب على تحديات القانون الحالية. إن مؤيدي 
الخصوصية الشخصية مثل الاتحاد والمركز التاليين: 

معن 1ق[ 1هه 1126 ودامتامء550ك تعنامه1 عنهممناء816 يراقبون بفعالية 
أحداث سرقة الهوية» وردود أفعال الشركات حيال اعتماد طرق مبتدعة لإيقاف 
سرقة المعلومات ذات الخصوصية» ويدعمون مساندة ضحايا هذه الجريمة. إن 
مويق لصوف هؤلاء وآخرون أيضاً مستاؤون مثلاً من الاستخدام المقترح 
لبرنامج : تفحص المعلومات الخاصة بركاب الطائرة المسممى 0882252» الذي 
يصنف أهم المعلومات حول هوية كل راكب لما الجمع بين قواعد 
المعلومات الخاصة والعامة. لقد صرحت مصادر حكومية بأن المعلومات عن 
الراكب الموجودة في قاعدة بيانات 0487285 سوف تحذف بعد أن تنتهي 
الرحلة بآيام ة قليلة» إلا أن مؤيدي الخصوصية لم يبلغوا بتفاصيل ذلك. بدأ 
بعض ركاب الطائرات برفع دعوى قضائية بشكل مستقل ضد حصول الخطوط 
الجوية على بياناتهم الشخصية. ولكنه لا يعرف الان ما هي البدائل القابلة 
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للتطبيق - إن وجدت - لعملية التفحص هذه التق تمارسها شركات الطيران. 

إنه لأمر محتمل» من وجهة نظر تقنية المعلومات» أن تتم مطالبة الشركات 
التجارية والمنظمات الحكومية بتزويد معلومات تمس خصوصية الزبون أو 
الشركة لتستخدم لآهداف التفحص الأمني. ومن المرجح أن الزبائن والشركات 
سيكونون مستاءين جداً من هذا الوضع». وسيحاولون ممارسة ضغوطات يسمح 
بها نظام السوق الحر مثل - مقاطعة الشركات التي تُسرّب المعلومات» ورفع 
وتطبيقها. إن الاستجابة لهذه الحالات سَتَزِيدٌُ من التكاليف التشغيلية لإدارات 
تقنية المعلومات من جهة, وَسَّتْصَعَّدٌ من العقوبات المالية والقانونية لعدم 
الاستجابة من جهة أخرى. 

لقد بدأت المحاكم تأمر بالتعويض في قضايا خطأ بعض الشركات الشائن 
فى مسائل الخصوصية الشخصية» مثل سرقة بطاقة الائتمان لأعداد كبيرة من 
الأشخاص من قواعد بيانات الشركة المحمية بشكل رديء» وسرقة سجلات 
تقنية المعلومات أن يكونوا واعين لهذه التوقعات والتحديات القانونية» أثناء 
تخطيطهم الإستراتيجي للاستثمار وللتقنية» لكي تؤخذ هذه التغيرات بعين 
الاعتبار فى الأنظمة والعمليات الموجودة بكلفة أقل منذ البداية» بدلا من أن 
تضاف فى اللحظة الأخيرة بتكاليف كبيرة. 
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القسم الأول 


قضايا الحوكمة 


الموازنة بين سهولة النفاذ والتحكم به 

كيف تقرر الإدارة من الذي يسمح له بالنفاذ إلى بعض المعلومات» ومن 
لا يتوجب عليه النفاذ إلى معلومات أخرى؟ هل يعني السماح لكل الأشخاص 
بالوصول إلى جميع المعلومات الفقدان الكامل لسيطرة الإدارة؟ كيف يمكن 
إدارة التحكم بالمعلومات مع تلبية رغبة الزبائن بأن يحصلوا على النفاذ 
المباشر لمعلوماتهم على مدار 24 ساعة وطوال الأسبوع» من خلال بوابات 
الإنترنت العامة؟ 

يستعرض هذا القسم عدة مواضيع رئيسية حاسمة تتعلق بآليات الموازنة بين 
سهولة النفاذ والتحكم به. الموضوع الأول يعالجه الفصل الثاني من هذا الكتاب 
وهو فصل واسع حول التنسيق بين متطلبات الأمن والإجراءات المضادة» 
وعمليات الشركة». وهى عناصر تتطلب قرارات جوهرية من الإدارة العليا 
وتوجيهات خبالها باعتبازها تشكل الإظار العام للهيكلية الإدارية التقكية 
المعلومات ككل» وللتقنية المشتراة لدعمها. 

بعد ذلك» وفي الفصل الثالث» تأتي مناقشة مسهبة حول حماية معلومات 
الزبائن - وهي عنصر أساسي في كل خطة تتعلق بأمن المجاريات ررد المصل 
الرابع وهو فصل رئيسي على المحاور المتعددة لإدارة المخاطر خصوصا: 
الأشخاص» والعمليات» والتقنية والتسلسل الهرمي لأجهزة التحكم. 

توجد في نهاية هذا القسم مناقشات حول تكاليف عائدات برامج أمن تقنية 
المعلومات» ومدى الاطمتنان إلى الأنظمة المونّقة» وأفضل الممارسات فى 
خال. مشازكة البيانات خارج المنظمة. ْ 
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الفصل الثاني 


التنسيق بين متطلبات الأمن» 
والإجراءات المضادة والعمل 


كريج اي. كوشر 


جامعة الدفاع الوطني» الولايات المتحدة الأمريكية 


المقدمة 

تُبَيّنُء مرةً أخرى» إحصائياتثُ نهاية السنة الأخيرة الصادرةٌ عن مركز 
التنسيق (01811-00) 018121 في جامعة 1161102 ءأوءم:00» عدم وجود ما يكبت 
التحسّنَ في الاطمئنان على المعلومات. إن مجموعة الحوادث التي أبلغ عنها 
ل 0881-000) مجددا قد وصلت إلى ضعف تلك الخاصة بالسنة السابقة 
تقريباًء وتجاوزت للمرة الأولى العدد ذا الأرقام الستة 137,529 المسجل عام 
3 «(0823,2004) . 

إن المسوحات المتعددة؛ لمجتمع شركات الأعمال» قد قدّرت تكلفة 
انتهاكات أمن المعلومات ببلايين الدولارات. ولقد قدَّر المسحٌ الذي أجرتة 
شركةٌ الأمن (36100 1+654) تكلفة المخاطر الناتجة من فيروسات الحاسوب 
وحدها ب 55 بليون دولار في كل أنحاء العالم في عام 2003 (2004 ,تعاناه8) . 
وقد أوضحت نتائحٌ مسح آخر شَمَلَ حكوماتٍ ومدراءة شركات من أنحاء العالم 
أجرته شركة (عمتعقع 112 010 > واءع م000 ع15امطععتة 17لا ععلوط)» تَأنْ أولقي. 
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أولوياتهم في عام 2004 يجب أن تكون رفع وعي المستخدم (2003 ,610). 
وهذا يشير إلى أن التشديد على أهمية أمن المعلومات» عبر المنظمات من قمة 
إذازتها إلى قواعدهاء لا يزال ثاقضاً. 

تستمر المنظمات الحكومية أيضاً بالسعي الحثيث إلى ضمان أمن 
معلوهاتها ولأكقدال الوؤقالاث السكرفية القفيدوالية فق الولاناف المعهدة 
الكمروكة ترك كاه الأمقلة عن قيعت حمانة لمعا وناك لديا ليه 
تقرير كانون الثاني / يناير لعام 2003 الصادر عن مكتب المحاسبة العامة 781عم66©) 
(6480 - 0150 عساصامءءةى أن العديد من الوكالات الحكومية الفيدرالية قد 
لاحظت «الانتباه المتزايد والشعور بالمسؤولية من قبل إدارتها في مجال أمن 
المعلومات» وذلك منذ صدور تشريع قانون إصلاح أمن المعلومات الحكومية 
في عام 2001م» ولكن «على الرغم من تقدم هذه التحسينات إلا أن التحقيقات 
الحديثة مع أربع وعشرين وكالة» تعتبر من أضخم الوكالات الفيدرالية» أظهرت 
ضعفاً كبيراً في أمن المعلومات, الأمر الذي يجعل العمليات الفيدرالية الحساسة 
والأضول فى كل .من هذه الؤكالات فى خطرا (2004 روهد6): .يحدد هذا 
التقرير» 98 وجه الخصوصء أن إدارة 538 أمن المعلومات والتحكم بالنفاذ 
هما نقطتا الضعف الأكثر شدة في أغلب الأحيان. في الواقع إن إدارة برنامج 
أمن المعلومات المُعرّفة من قبل (6480) على أنها: «إطار العمل الذي يضمن 
بأن المخاطر قد فُهمّت وبأن آليات التحكم الفعّالة قد اختيرت وطَبّقت كما 
بخن كانت المشكلة الوسيدة الى ود بجيف فى كل «وكالة هن الوكالات 
الأربع والعشرين الرئيسية الساافة إن عد افيف لم يقير عن نتيجة التحقيق 
الذي أجرته ال (640) في السنة التي سبقتها. 

لماذا تبقى إدارة برنامج أمن المعلومات نقطة الضعف لدى كل وكالة 
فيدرالية تقريباً؟ ولماذا انعكس هذا الأمر أيضاً على عالم الشركات؟ قد يتساءل 
المرء كذلك لماذا يبقى نشرٌ الوعي الهم الأعلى» بالرغم من هذا الانتشار 
الواسع والتأثير الكبير للحوادث. ما هي العقبات التي تواجه كلا من الصناعة 
والحكومة في إعطاء صفة الهيكلية المؤسساتية لموضوع أمن وتأمين المعلومات 
في عصر المعلومات؟ 

عندما يسمع العديد من الأشخاص بمصطلحات تأمين أو أمن المعلومات» 
فإنهم ينصرفون إلى التفكير في المشكلات. مما لا شك فيه أن ذكر مصطلحات 
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تأمين أو أمن المعلومات للعديد من الأشخاص اليوم»ء يذكرهم على الفور 
بالمشاكل التي عانوها شخصياًء أو عانتها منظماتهم مع آخر جولة من جولات 
البرمجيات الخبيثة» ال (عنةولهص). أحياناً وفي المنظمات التي تتعامل مع 
معلومات أكثر حساسية أو سرية» يفكر الأشخاص المعنيّون بمشكلتهم الأكبرء 
ألا وهى التهديد من داخل المنظمة. 
قد يقول الأفراد المطلعون تقنياًء وعن قناعة راسخة» أن المشكلة تكمن 

بشكل رئيسي في انتشار توزيع واستخدام البرمجيات غير الآمنة أصلاً. من جهة 
أخرى» إن الأشخاص الذين يقرأون الكثير من المنشورات العامة والقصص 
الإخبارية قد يقولون بأن المشكلة الكبيرة في أمن المعلومات اليوم تكمن في ما 
هو لاسلكي. 

...إن لوم ما يسمى بالقراصنة («سم اه هط شائع جداًء إلا أن هذه الفكرة قد 
عف عليها الزمن. وثمّة أشخاصٌ أيضاً يحبون أن يظهروا لنا على أنهم مفكرون 
الكريستالية السحرية» ليتنبأوا بالمستقبل» يَدّعون بأن شكلاً جديداً من الإرهاب» 
إرهاب ال (562©). يحوم الآن فوقنا وأن هذه المشكلة كبيرة وكبيرة جداً. 


إن هذه النظرة إلى تأمين المعلومات نظرةٌ سلبية في أحسن الأحول. وغير 
مجدية البتة في أسوأ الأحوال. في الواقع قد تكون النقيض لحقيقة الأمن الفعّال 
للمعلومات. لأن حصرّ المشكلة في بضع مهدداتٍ لأمن معلوماتك وأنظمتك» 
رغم وجود العديد من هذه المهددات. وكذلك في بضع ثغرات في معلوماتك 
وأنظمتك» رغم وجود العديد العديد من هذه الثغرات» هو أمرٌ يجعل مُعالجتكَ 
للمسألة خارجةً عن السياق الحالي لهاء ويتجاهل متطلبات أمن المعلومات» 
وربما سيؤدي إلى منهجية ترقيعية للحد من المخاطر المستقبلية على معلومات 

لذلك إذا نَقَّبنا بعمقٍ أكبر في «المشكلات»» قد نبدأ بطرح بعض الأسئلة 
57 . 

هل فَعَلنا كلّ ما بوسعنا القيام به من أجل حماية جميع الطرق المحتملة 
التى من خلالها يمكن أن تُدَسسَ الفيروسات والديدان والبرمجيات الخبيثة 
الأخرق (عه#الهح) داخل بيئتنا؟ 
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ماذا نفعل كي نحدد ما إذا كان المتقدمٌ الجديدٌ للوظيفة» أو الموظفٌ لدينا 
من فترة طويلة» يمكن أن يُشكل تهديداً داخلياً ماكراً؟ وكذلك ماذا نفعل على 


هل نحن مُضطرون حقاً إلى جعل منظمتنا جزءاً من اختبار (8618) العالمي 
للتببهة الأخيرة من 367 :5017/81 2513761 قبل أن نملك بعض التأمين حول 


أمنها وثباتها؟ 


منذ سنوات قليلة مضت» قلق الأشخاص القائمون على أمن المعلومات 
نشاآن المودم الخبيث 200627 هناع80» الذي سمح ب «باب خلفي» أو قناة 
سرية إلى البنية التحتية للمعلومات. قد تكون المشكلة الآن مع الشبكات 
اللاسلكية أكبر بكثير» إذ بينما يسمح المودم الخبيث لمستخدم واحد فقط 
بالنفاذ إلى محطة العمل المحددة تلك» قد تقَدّمُ نقطة النفاذ اللاسلكي الخبيثة 
في المكان الخاطئ «باباً خلفياً؛ أو وصولا سرياً لعدد غير معلوم من 
التهديدات المحتملة. 


فد نعتقد أنضاء أن إدارة نظام المعلومات (5ص0تنططلة لاه عط)») أو أشخاص 
الشبكة (الإناع 2667/0116 6ط4» يقومون بالاهتمام باحتياجات أمن معلوماتنا. 
ولكن» الست هذه المهمة تبدو وكأنها قد أتت من مصدر خارجى؟ 


ومن قد يرغب بمهاجمتي أنا الإنسان المسكين, المتقدم في السنء» 
والجالس هنا على حاسوبي المكتبي» أهتمٌ فقط بشؤوني الخاصة» وأقوم بعملي 
الذي لا يهدد أي شخص؟ 

كينا :ذا العونا مقط بو لسوتسف الوا وم روعي ات افون الكفياة 
ب «مشاكل» تأمين معلوماتناء نكتشف مجموعة من التشير قات ؛ والوظائف» 
والمسؤوليات» كما نكتشف مجموعة من الاعتقادات» ولا نعرف من المسؤول 
عنها جميعها!!»ء ونكتشف أنها ليست منتشرة فى جزء واحد فقط من المنظمة» 
بل في المنظمة بأكملها. ْ 


إننا اليوم في تماسٌ دائم مع المعلومات وأنظمة المعلومات» في المنزل 
وفي العمل وفي كل موقع. وفي الطريق بينهما. ربما أصبحنا غير واعين» بأننا 
على استخدام دائم للمعلومات وتفاعل مستمر مع الأنظمة. 
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لدينا احتياجات متنوعة» فيقا تصن وفى سياقات مختلطة» تجعلنا 
بحاجة إلى الاهتمام بأمن المعلومات. وقد تتغير متطلبات أمن المعلومات هذه 
عندما ننتقل بين عملنا وحياتنا الشخصية. 


تزداد وسائل تأمين المعلومات من حيث الكمية» كما نأمل أنها بازدياد 
أيضاً من حيث النوعية» ولكن هل تزداد بسرعة كافية؟ وهل ندرك ونوظف 
بفاعلية جميعٌَ الوسائل اللازمة لتلبية الحاجات؟ 

إن المشكلة الحقيقية في أمن المعلومات اليوم» هي أننا قد لا ندرك 
السياق الكامل الذي توجد فيه المعلومات المتوفرة والمستخدمة من قبل 
منظمتنا. فمن الممكن أن يكون لدينا نقص في فهم متطلبات أمن المعلومات» 
ومن المحتمل أننا لا نعلم ما هي الوسائل والوظائف والمسؤوليات اللازمة لتلبية 
متطلبات أمن المعلومات هذه. 


يحتاج المدير التنفيذي أو كبير الإداريين» وعلى كل المستويات في 
المنظمة. أي مستوى الإدارة العليا والمستوى الاستراتيجي والمستوى التنفيذي, 
إلى الإلمام بحدٌ أدنى من الوعي في فهم العلاقة بين هذه الأمور الثلاثة: 
السياق» والمتطلبات والوسائل. ففهم كل من هذه الأمور بالإضافة إلى فهم 
العلاقة فيما بينهاء يعد هاماً لكل من مسألة أمن المعلومات ومسألة هيكلية 
المنظمة أو الشركة. 


سيركز هذا الفصل على جمع ثلاثة توجهات بازغة» آلا وهي: «متطلبات 
أمن المعلومات»» و«هيكلة المؤسسة»» و«الدفاع المعمّق عن المعلومات». 
وتستطيع هذه التوجهات أن تُشَكُلَ إطاراً للعمل بأسلوب منسقٍ يَشرحٌ متطلبات 
تأمين المعلومات الخاصة بكل هيكلية إدارية» بالإضافة إلى تحديد طرق فعالة 
للحد من المخاطر. من الضروري إقامة العلاقة بين هذه الاتجاهات الثلاثة 
وفهمها: متطلبات أمن المعلومات» و«هيكلة المؤسسة» وإجراءات «الدفاع 
المعمق عن المعلومات»). 


إن فهم هذه العلاقة سَيُمَكُنُ المنظمات في كلّ من القطاع الخاص 
والحكومي من زيادة فعالية برامج أمن المعلومات لديها إلى الحد الأعلى. 
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ماذا نريد؟ 


إن الخطوةً الأولى في بناء برنامج فعَالٍ لتأمين أو أمن المعلومات» هي 
أن نفهم تجاما هاذا ترون عكدها تردي «بالأمن» أو «التأمين». ما هي النتيجة 
المحددة التى نرغب بإدراكها؟ 


فكر في مثالٍ بناء منزلٍ لك. إن المتطلب الذي يريده كل شخص تقريباً 
ععن نا سرل هو أن بكرن ذلك التمدل اهنا ومحياء هن يكن أن اول 
لمن يسيقوة ييدان ابن لو ميرلا" أكا:فحيا»” وانتتوقع يعد ذلك السصول 
على ما طلبته تماماً؟ قد تؤوّل عبارة «آمناً ومحمياً» بطرق مختلفة عديدة تبعاً 
للدور الذي يلعبه الشخص في عملية البناء. 


ماذا تعني عبارة «آمن ومحمي» بالنسبة إلى الوالدين اللذين لديهم العديد 
من الأطفال الصغار؟ هل عبارة «مصمم لمقاومة صدمات الأطفال» ستكون 
أكثر دقة؟ وعلى الجانب الآخر من سُلَْم العُمر»ء قد تعني عبارة «آمن ومحمي» 
للزوجين المتقاعدين الكبيرين في السن تصميما منزليا مختلفا تماما. 

قد تملك عبارةٌ «آمن ومحمي» بعضّ المعاني المختلفة أيضاً تبعاً للبيئة 
التي سيبنى فيها المنزل. ربما توجد متطلبات بنائية خاصة بسبب تكرار حدوث 
الأعاضير أل الزوانم أو حعن: الزلازلةقن المتطمة رمن الحمكه الدرعتات 
الحرارة العالية أو لهطول الثلج الكثير أن تصبح عوامل في تحديد ما تعنيه 
عبارة «امن ومحمي) فعلا. 

وبالطبع فإن عبارة «مقاوم للنان قن تكو أيضا مثالا محددا لعبارة «أمن 
ومحمي). وأخيراً فإن مالكي المنازل المحتملين قد يهتمون ببساطة بالأمن 
الفيزيائي أو المكاني. 

بالإضافة إلى رغبات طالبي تملك المنزل في الحصول على منزل آمن 
ومحميء قد توجد أيضاً أطراف أخرى لها نفس الاهتمامات بمعنى «آمن 
ومحمي» أو لها اهتمامات مختلفة. فعادةً ما يطلب مالكو المنزل قرضأء ولكن 
كي يحصلوا على هذا القرض» سيتوجب على طرف آخر أن يكون معنياً 
كذلك» ألا وهو شركة تأمين. سيحتاج مالكو المنزل من أجل الحصول على 
القرض إلى بوليصة التأمين هذه. ومن أجل الحصول على البوليصة أو كي 
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يكونوا قادرين على شرائهاء سيحتاجون إلى إقناع شركة التأمين بأن المنزل 
تستتحى العامية+ ل ل ل ا 
المثل «مصنوع من القش». ستفضل المنزل الذي يبنى بشيء أقوى وأقل قابلية 
للاحتراق. 


فلن تتر حب كالات علج ع نز عاتلة البمدلة والنتاء و احوين فل البنك 
وشركة التأمين» أن ينتبهوا إلى المعايير والقوانين الحكومية فيما يتعلق بالمنازل 
«الآمنة والمحمية»» مثل القواعد الخاصة بكل منطقة وقوانين البناء. في الحقيقة 
قد توجد حتى عقوبات وحوافز فيما يتعلق بالالتزام بالمعايير والقوانين مثل: 
غرامات من قبل البلدية المحلية لعدم التقيد بالقواعد الخاصة بالمنطقة» وأقساط 
تأمين أقل» تعويضاً على تطبيق متطلبات أمن فوق الحد الأدنى الذي يفرضه 
القانون. توجد أيضاً فى بعض المناطق متطلبات مفروضة من قبل اتحاد مالكى 
منازل المنطقة 00006 أن مثل هذه الاتحادات لا تحتاج عادة إلى 8 
معايير وقوانين من أجل الحماية والأمن» إلا أنها تستطيع أن تساهم في فرض 
إضافات رئيسية كشروط للحصول على رخصة بناء صادرة عن الحكومة 
المحلية» كما أنها تستطيع أن تساهم أيضاً بالأمن من خلال أنشطة مثل برنامج 
مراقبة الجوار. 

وهكذا فإن لعبارة «آمن ومحمي» معاني مختلفة حسب وجهة النظر المعينة. 
وقد تكون جميع وجهات النظر المختلفة صحيحة وتقتضي التطبيق. كما يجب 
على مالك المنزل أن يّفهم جميع هذه الرؤى المختلفة. 

إذاً ما هي متطلبات أمن المعلومات؟ 

لقد سعت المنظمات الحكومية» في محاولتها لتحقيق أمن معلوماتهاء إلى 
جلب جميع المعنيين بهذه المسألة إلى نفس المستوى من فهم متطلبات ذلك. 
إن العنصر الأول الذي نحتاج إلى فهمه هو متطلباتنا من أجل أمن المعلومات. 

لقد أصبحت المفردات الخمس التالية: السّرية» وسلامة البيانات» 


والجاهزية» وعدم الإنكار» والتحقق من الهوية أو التوثيق» و ما القائمة 
«التقليدية» للمتطلبات. لقد شجلت وحددت 7 كل من وزارة 8 (00610ط) 


الذي نشر من قبل ١لجنة‏ أنظمة 0 0 (2155©) كتعليمات رقم 4009 
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(5511550,2004). ولكن هذه كلها قد لا تتضمن كل متطلبات أمن المعلومات 
لجميع البيئات ولكل المؤسسات. 

لقد حدد المعيار العالمي المسمّى «النموذج المرجعي لهيكلية أمن 
المعلومات» الصادر عن المنظمة الدولية للمعايير (2004 ,150]) (7498-2 150) 
سبعة مستويات» عاكساً رؤية عالية المستوى لمتطلبات أمن الشيكات 
الحاسوبية ومنضيفا نذلك: إلى العخاصر التقليدية المسيشويين التاليين ‏ التحكم 
بالنفاذ» والتوثيق/ الإمضاء. 

وفى بحث لشركة (م010 632]561©) يضيف الخبير (روبيرتا ويتى) العديد 
من المتطلبات إلى المفردات الخمس التقليدية ومنها: التفويض» والخصوصية» 
وعدم التدخل (2002 ,18/1069 . 

ويؤكد كذلك كل من غوربريت ديلون وجيمس باك هاوس بعضاً من 
المتطلبات التقليدية» بينما اقترحوا ثلاثة مبادئ إضافية مختصرة فى ما يدعونه 
(8111) تشتمل على : المسؤولية» والثقة والأخلاقية (2000 يدمللئط0). 


قن مني" القاتمة ممطلياف كله شيعا لها طهر سين فتلر 38 لا بجاد 
العشرة لجودة المعلومات» وهي: الصلة بالموضوع., والدقة» والتوقيت 
المناسبء والاكتمال» والترابط» والبنية» وسهولة المنال» والملاءمة» والأمن» 
والشرعية (1996 ,ؤعص[ه1]) . 

وأخيراًء إضافة إلى العديد من المتطلبات التى عددت حتى الآن.» أضاف 
باحثا شركة 1836 (آروون ناغراجان وأنبازهاجن ماني) إلى قائمتهما «المتطلبات 
الرئيسية لدعم جودة الخدمات» المتطلب التنظيمي (2003 ,نهة/8) . 


السؤال الآن: أي قائمة من هذه القوائم نتقيّد بها؟ قد يجادل البعض أن 
تعفن المفرداك متفنجنة أمناسا فى" تغريقي: مفرواك: أخرى + فعلن .سيل 'الكال: 
عدم الإنكار والتحقق من المي هي أجزاء من السّرية» وقد يجادل آخرون 
للعودة إلى مجموعة المتطلبات التي اقترحت عام 1991م عندما وصف جون 
ماكيومبر (25615نا0 ه281 قطه1) السّرية» والسلامة والجاهزية كصفات مطلوبة لآأمن 
المعلومات فى نموذجه الشهير ©12850518 (1991 ,1ءطصةن0ه]38). لكن مثل هذه 
المناقشات امسيظك بعيدة عن الواقع. 

إن السبب المنطقي وراء ضرورة تحديد متطلبات أمن المعلومات بأكبر 
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قدر ممكن من الدقة» هو إتاحة الفرصة لاحقاً لتطبيق أكثر الوسائل فعالية 
لتحقيق هذه المتطلبات. إذ قد يقود تعميم المتطلبات.» ضمن مجموعة من 
الخيارات المحصورة أكثر مما ينبغي» إلى نتائج غير محمودة» فالتعميم يزيد 
من احتمال اعتماد الإجراءات المضادة أو الوسائل غير الصحيحة أو غير 
الفعّالة لتحقيق الأمن» كما يزيد من احتمال عدم تحقيق مخرجات أمن 
المعلومات المطلوبة. وقد يجعل هذا التعميم المنظمة جاهلة بالمتطلبات 
الجديدة والبازغة. 


خذ على سبيل المثال متطلب الأمن المتعلق بالخصوصية» لقد سن في 
الولايات المتحدة الأمريكية «قانون مسؤولية وقابلية التداول فى التأمين 
الصحي») عام 1996م (11244]) بهدف حماية خصوصية صحة القن وحماية 
المعلومات الطبية. ووفقا لوزارة الصحة والخدمات الإنسانية فى الولايات 
المتحدة الأمريكية (إن هذه القوانين تحمى السجلات الطبية والسلرفات 
الصحية الشخصية سواء أكانت على الوق أو فى الحواسب». أو منقولة 
شفهياً). يتضمن (111244) فى الحقيقة «قانوناً رفيا يصف حالات 
كدان سيك سي ] و السك نوا طلسي و امكاح وليه عزو حر 1 
أخرى هناك العديد من الحالات التي يمكن فيها الإفصاح عن المعلومات 
الصحيحة (2003 5م5116 سقسن11 لصة طالدء11 1ه .أمء12 ى.1[.5). في هذه الحالة 
على سبيل المثال إن متطلب الخصوصية ليس أضيق من السّرية» ولكنه 
يتضمن أيضاً عناصر أخرى من القائمة «التقليدية». إن مجرد اعتبار الخصوصية 
كمرادف للسرية سيكون أمراً خاطتاً» كما أن تطبيق الإجراءات المضادة لحماية 
السّرية فقط من التهديدات سيكون غير كاف لتحقيق متطلب الخصوصية. 


إذا كان فهمٌ المتطلباتٍ الحقيقية لتأمين المعلوماتٍ هو الخطوة الأولى 
للوصولٍ إلى أمن معلومات فعَالٍِء فإن العقل المنفتح نحو البحث في طبيعة 
هذا المتطلب هو أمر ضروري. قد تكون التعاريف المعيارية نافعة من أجل 
الفهم النظري للمتطلبات» ولكن لا يتوجب استخدامها بدون أخذ الأوضاع 
على أرض الواقع بعين الاعتبار» والتي تستدعي تحقيق متطلبات أمن معلومات 
محددة. يتوجب على كل منظمة لديها حاجة لأمن معلومات فعّال أن تقرر 
أولاً ما هو متطلبها الحقيقي» كما ينبغي بعد ذلك أن تتأكد من أن المتطلب 
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«الدفاع المعمق عن المعلومات» وفي جميع الا تجاهات 


تويب ؟ العدية مق التتظياف :إلى اإذواك أن اه المعلوماكة لسن منعرد 
حماية أنظمة تقنية المعلومات بإدخال مقدار أكبر من التقنية» إذ يتضمن الأمنٌ 


لقد عُمّم نهج «الدفاع المعمق عن المعلومات»» لتأمين المعلومات من 
قبل وزارة الدفاع الأمريكية أولا. ويتضمن هذا النهحٌ تطبيقٌ الإجراءاتِ 
المضادة فى مجالات: الأشخاصء» وطريقة العمل أو الإجراءات التشغيلية» 
الك اك التقنية» وهذا بغية الحد كلياً من مخاطر أمن المعلومات 10106) 
(2003 ,5111 6ه وأعنطك0 . تشمل الإجراءاث الخاصة بالأشخاص أموراً مثل: 
التدريب» وأمن الموظفين. أما الإجراءات التشغيلية فتشمل : الخطط. والسياسات» 
والإرشادات» وهي كذلك جزء من الإستراتيجية» وتشمل إجراءات التقنية أيضاً 
أموراً مثل الأنظية لخم وأجهزة كشف الاختراق و«جدران النار). 


ومن الممكن جدلاً أن تشتمل هذه التشعيبات الثلاث لنهج «الدفاع 
المعمق عن المعلومات» على أية وسيلة أخرى لتأمين المعلومات والحد من 
الفخاطر المحدقة ريا كذلك” تتضمق كل متها" واد من 'العناصر الثانوية لهذه 


لنفكرء على سبيل المثال» بنظام كشف الاختراق (25). عادة ما ينظر 
إلى نظام (125) على أنه تقنية تقوم إما على شبكة أو على حاسوب مضيف. 
صمّمت هذه التقنية للكشف عن نشاطات غير عادية أو محظورة على النظام أو 
الشبكة. إن هذا مشابه لمثال كشف الاختراق لأمن المنزل (125) السابق» 
فعندما يُكتشفٌ أي حادثء سيبلغ شخص لاتخاذ ما يلزم. يتوجب على هذا 
الشخصء سواء أكان الموضوع منزلاً أو شبكة حاسوبية» أن يتَّبِعَ إجراءً 
معتمداً يتعلق بطريقة القيام بتحقيقات إضافية ثم يرفع تقريراً عن الحادث. فإذا 
كان المسؤول عن هذه المتابعة مدرباً تدريباً غير جيدء» فإنه فى أحسن 
الأحوال قد يحدث اختراق جديدء وفي أسوأ الأحوال قد تحصل كارثة» 
سواء في المنزل أو على الشبكة» وذلك بالرغم من القدرات الهائلة للتقنية. 
بطريقة ممائثلة قد تؤدي السياسة الواهنة» أو الإجراء المكتوب بشكل سيى» 
إلى جعل الفعالية التقنية موضع جدل. 
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لذاء وكما في تعميم المتطلبات» فإن التصنيف المبسّط لعناصر نهج 
«الدفاع المعمق عن المعلومات» أي: التقنية» أو الأشخاص أو العمليات قد 
بكوة غير فناسيت. إن قدرا أكدن سن العأمل الدقيق فى" العيعاف والعلؤقات 
المتبادلة الضرورية بين عناصر إستراتيجية «الدفاع المعمق عن المعلومات» يُعَدُ 
مطلوباً بغية توظيف هذا الدفاع أو الإجراءات المضادة بفعالية. 

عموماًء قد تملك استراتيجية «الدفاع المعمق عن المعلومات» صفة 
«مضاعفة القوة» التى تزيد فى تأمين المعلومات نتيجة المشاركة الفعالة 
لوحدات أكثرٌ من بجدات :اليك : وبالتالى لعدد أكبر من الأشخاص. وعندما 
تردلي سورك اجو الزينانا والتسورات لفاكت قرلن انوت كك يك 
«الدفاع المعمق عن المعلومات»» وإذا ما أديرت بشكل جيد فإنها ستعزز من 
فاعلية الإستراتيجية. 


تندتراتي دون لحري ١‏ نوسن و كو دان نفك[ ماضن مهكدة 
إضافيةَ تكون جزءاً من إستراتيجية «الدفاع المعمّق عن المعلومات». يتضمن 
المعيار (15017799) على سبيل المثال ما يلي: الالتزام» وهيكلية الأمن, 
وتصنيف الأصول والتحكم بهاء وذلك ضمن قائمتها المؤلفة من عشرة عنا 
(2000 ,150 . 

تصلقت (أنظمة آم الاتعرنت :دوو حياة: إدارة الأطن "على أنه مسدركزة 
حول ما يلى: سياسة ومعايير وإرشادات» وأنها المؤلفة من خطوات هى: 
قدّر وصمّمء رس وأدر» وادعمء وعلى أن تكون فَتفاظة بالتعليم 
المستمر (2000 ,قمتعأولز5 لإأتتباءء5 أعمرعام1) . 

من. جانت اخ تسرف «انظية الواناكف الالكتر وني ةا دور جناة كافية 
المعلومات على أنها مؤلفةٌ من خطوات هى : فلك واحم» وتفخّص » ودرب 
وراقب (2000 ,625). ّ 

بغض النظر عن اعتبارنا لهذه الإجراءات على أنها فكرة» أو عملية» أو 
دورة حياة» أو أنها أي شكل آخرء فإن المهمّ هو إدراكنا أن هذه الوسائل 
هى أكثر بكثير من التقنية التى يفكر بها العديد من الأشخاص عندما يسمعون 
بعبارة أمن المعلومات». ولذلك فإن أمن المعلومات يستدعى توظيف عدد أكبر 
من الأشخاص في المنظمة. 
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مهندس هيكلية أمن المعلومات» أو المعماري 

كما رأينا سابقاً» فقد اكتشف مالكو المنازل بأن لديهم مجموعة منوعة من 
المتطلبات التي تحتاج الدراسة من قبلهم ومن قبل آخرين» إذا أردنا تأسيس منزلٍ آمن 
ومحمي. وكما أن تحديد المتطلبات جاء من عدة مصادرء كذلك هي وسائل تحقيقها. 

سيتوجب على مالكي المنازل أن يوظفوا عدداً كبيراً من الوسائل من أجل 
حمابة أنفسهم وأطفالهم. وحماية البنية المادية للمنزل» والبيئة التي سيبنى فيهاء 
وكذلك أمن أموالهم. تشتمل بعض هذه الوسائل على منتجات متفق عليهاء 
وعلى ممارسات مثلى». وكذلك على تصاميم وهياكل مراقبة بدقة. ستتضمن 
وسائلٌ أخرى سياسة مطبقةً ومفهومة جيداً.ء وخدمات مراقبة. وبينما تجري 
غهلية أبناء الحفال 4 سيكو كلذ هن التحارين والسماكزة والمتحمتفين بالكهراء 
والمشتغلين بالسقوف. ومزوديهم. والمشرفين عليهم منهكين بالعمل. ستقوم 
مدو دو المراقيه بالعا مد من تطوق فرانيم القاءروالسطط الموضو م هنا 
سيجري اختبارٌ أجهزة البيت» وقبل أن يسكن أخيراً سيمنح وثيقة نهائية. 

إذاً من الذي سيكفل أن جميع المتطلبات قد أخذت بعين الاعتبار» وأن 

جميع الوسائل فظوت بفاعلية» وأن كلَّ شيء منسجمٌ ويعمل معاً؟ يجب أن 
ا ا درك مع الوسائل المختارة لتنفيذها و يدعى هذا 
السياق ب «الهندسة المعمارية»). 

سيبتدعٌ المهندسٌ المعماري مجموعة من الوثائق التي تُصوّر المنزك من 
أكثر من منظورة. سيستخدمٌ كل واخد من دوي المهاراك المختلقة» الذين 
سيقوسون بإتجان كل .فيد الإجراءات أو ««#الوهاة)) ءاه هده الوتائق 
المصممة من قبل المعماري تجعلٌ إنجازهم مُنَّسقاً مع السياق الإجمالي 
للمنزل. إن الوثائق المخصصة للنجارين على سبيل المثال: سَتَعرض محاورَ 
البناء المتعلقة بالنجارة فقط. 


سيكون المهندسٌ المعماري هو المتحكم المركزيّ بجميع هذه الوثائق 
والرسوم المنظورية. وإذا كان لابد من إجراء تعديلات في واحد من الأنظمة» 
غلن نسيل المقال: ففكة الأساذك- الكهربائية: +فإن المهندسن اكد هن أن هذا 
التغيير لا يؤثر سلبياً في أيّ محور آخر للمنزل. 

لن يخدم التوثيق الهندسي الجيد الهدف منه أثناء بناء المنزل فقطء بل 
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أيضاً بعد الانتهاء من عملية البناء. فإذا استطاع مالكو المنازل الاحتفاظ 
بمجموعة الرسوم الهندسية» فسيتمكنون بعدها من العودة إليها طيلة فترة 
ملكيتهم للمنزل» وكلما رغبوا بإجراء تعديل له. قد يختار مالكو المنازل أن 
يضيفوا ملاحظاتهم على الوثائق الهندسية أو أن يوائموها كي يمتلكوا رسما دقيقا 
وحاليا لعلاقات المقومات المختلقة للمنزل. 


هيكلة أو عمارة المؤسسة 
نشوء فرصة 

إن «تأمينَ المعلومات» و«هيكلة المؤسسة» ليست أفكاراً أو برامج جديدة. 
في الحقيقة » إنهما في الحكومة الفيدرالية الأمريكية مشلا نشاطان رسميان ده 
لكل م متطلبات مدع ا وفق سياسات ا وتواعم 0 من 
المؤسسات من خلال القوانين مثل قانون (111544) في قطاع الخدمات 
الصحية» وقانون (ل531583265-0*16) لشركات التدقيق والمحاسبة العامة» وقانون 
(811169-طوعةه1-ستدسة: 6) لشركات الخدمات المالية. إلا أنه لا توجد بعد أوامرُ 
رسمية تنظيمية أو قانونية ل «هيكلة المؤسسة» في القطاع الخاصء إلا أن العديد 
فق الشركات تكتان: أن سيق سكلا منه كاتضيل الممازسات: 

لماذا تُستخدم «هيكلة المؤسسة» في الحكومة؟ تُسأل الوكالات الفيدرالية 
الأمريكية مثلاً عن تعليل إنفاقها على تقنية المعلومات وعن بيان كيف تَدعمٌ 
أنظمةٌ لديها إنجازّ مهمتها. تتضمن جهودٌ «هيكلة المؤسسة)» أكثْرَ من مجرد 
خبراء لتقنيات المعلومات للمنظمة. في الواقع تتضمن الخطوات الحكومية 
الأولية المتخذة لتحديد «هيكلة المؤسسة» الفيدرالية وضع لجوج مرجع 
تجاري على أن تتبعه فيما بعد نماذج مرجعية تقنية ومعلوماتية. 


تُقَدَمُ برام «هيكلة المؤسسة». في كل من الوكالات المدينة للحكومة 
الفيدرالية ووزارة الدفاع الأمريكية» مجموعة من: النظرة المستقبلية» وترابط 
العمل» والرؤى التقنية والتشغيلية للمهمة أو العملية. فمثلما يقدم 
مهندس المنزل المعماري لكل مختص الرسمٌ المنظوري الخاص بهء فإن 
مهندسي الحكومة المعمارييين يقدمون مجموعة من الرؤى المترابطة والمراقبة 
المركزية. وبالتالي يستطيع المدراءً التشغيليون أن يروا الرسم المنظوري 
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المتعلق بطريقة العملء بينما يرى مختصو تقنية المعلومات الرؤى التقنية. 

لقد وُجد في الماضي تنويه أو دمج بسيط جداً «لتأمين المعلومات» داخل 
«هيكلة المؤسسة» وهذا حتى فى الحكومة الفيدرالية الأمريكية حيث كلا 
البرنامجين تشاطاة رسمياق» بدا هذا بالتغيير بسبب انتشار الوعي بأهمية «تأمين 
المعلومات».وقد:بدات: العنويهات إلى عتاصر تأمين المغلومات بالظهور في 
النسخ الأخيرة لأطر العمل في «هيكلة المؤسسة» الفيدرالية. 

سواء جرى اعتمادٌ نهج مثل «إطار عمل هيكلة المؤسسة الفيدرالي» 
(هظ©)؛ أو مثل «إطار عمل هيكلية المؤسسة لوزارة الدفاع» (07) أو أي 
نهج آخر تتبناه المنظمة وترعاه» فإن ذلك لا يهم شريطة أن يتضمن نظرةً 
شمولية تحتوي العناصر التجارية والتشغيلية والتقنية. 

وقد يُقترحٌ البعضُ أيضاً اعتماد نهج زاكنمان أى تعديلا غليه» وغلى 
الوغم من أن كلا هتين الاتجاهيق ولدا'من العمل "في هيكلية تقنية 
المعلومات» إلا أنهما محدودان عند محاولة استعمالهما لوصف السياق 
الشمولي لأمن المعلومات (2001 يمقصسطعه2) . 

إن الاتجاه الشمولى هو الاتجاه المفضلء لأننا نريد لسياقنا أن يكون 
مركزاً على المعلومات و على أنظمة المعلومات أو على تقنية المعلومات 
فقط؛ إذ نريد بالنتيجة أن نحدد متطلباتنا لتأمين المعلومات وليس لتأمين 
نظمها أو تقنيتها. فنحن نحاول تجنب فقدان المعلومات وليس تجنب فقدان 
النظام أو التقنية» وهي مشكلة مختلفة تماماً (2001 ,قتساه5 م0؟). 


إلتقاء المتطلبات والوسائل والهيكليات 


عند عملنا على فهم متطلبات تأمين المعلومات» يجب أن نهتم أيضاً 
بالوسائل أو «الإجراءات المضادة» لتنفيذ هذه المتطلبات» وأيضاً السياق أو 
الهيكلية التي تتوافق معهاء فإن فهمَ ارتباط هذه الأشياء الثلاثة لمث م قد 
يبدو أن استيعاب مثل هذه المكدوع المعقدة من العلاقات اي مروعة. 
لحسن الحظء ثمّة مجموعة من النماذج التي تساعد على شرح ارتباط 
في عام 1991م اقترح جون ماكيومبر (21010125617 2ط10) ما دعاه «النموذج 
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الشامل» لأمن المعلومات المرسوم في الشكل (1) (1991 ,1ط تصب0 ه08 . 


إجراءات الامن المصادة 


الشكل (1). 


إن ما دعوناه بمتطلبات تأمين أو أمن المعلومات» أشير إليها من قبل 
(61طتتداته84) ب «مواصفات المعلومات». لقد أشار منها (2وط د ه386) إلى : 
السَّريّة» والتوفر والسلامة فقط. 

إن ما نسميه اليوم ب «الدفاع المعمّق عن المعلومات» سمّاه (7ءطصتد0ء/3) 
إجراءات الأمن المضادة. فلقد حلت كل من الأشخاص» والعمليات والتقتيات 
في «الدفاع المعمق عن المعلومات» محل مقومات (0565نا8100) الثلاثة في 
إجراءات الأمن المضادة أي : التقنية» والسياسة والممارسة» والتدريب والتعليم. 
أما الجانب الثالث لنموذج (تعط متنن»ء 31) أي ما سمّاه بحالات المعلومات» فقد 
قال (روطصسدحء321) أن جميع المعلومات توجد في حالة من هذه الحالات 
الثلاث: الإرسالء» أو المعالجة. أو التخزين. وقد أجاز (2662د0ه81) أن توجد 
المعلومات أحياناً في حالتين من الحالات الثلاث في نفس الوقت. في نظام 
الرسائل على سبيل المثال» تستطيع الرسالة حينما تكون في حالة الإرسال أن 
تكون في حالة التخزين أيضا. 

وعلى صعيد آخرء وصف (2001 ,[.21 اه] لإاعهطمعة3/1) في عام 1 كيف 
تطور نموذج (12170580) إلى نموذج تأمين المعلومات (4). إن هذا التطور 
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هو أكثر من مجرد تغير دلالي بسيط أو تغيير أسماء. اقترح مؤلفو هذا النموذج 
الجديد عدداً من التغييرات لتحديث نموذج (840010662). فالعناصر التي أطلقَ 
عليها (0665ن0ء]28) اسم «مواصفات المعلومات». أشير إلها من قبل هؤلاء 
المؤلفين ب «خدمات الأمن» وقد وُسّعت لتتضمن التّحقق من الهوية وعدم 
الإنكار. لقد قام نموذج 2001م بتحديث إجراءات الأمن المضادة (2ءط س0 310) 
إلى ثلاثية «الدفاع المعمق عن المعلومات» الحالية» ألا وهي الأشخاص» 
والعملياتث والتقنية. أما الجانب الثالث لنموذج (ع6 نم31 ) أي «حالاات 
المعلومات»»2 فقد ثُرك بدون تغيير. اقترح المؤلفون بأن بُعداً رابعاًء ألا وهو 
الوقت أو الزمن» يجب أن يؤخذ كذلك بعين الاعتبار بطرق عديدة. رسم 
نموذج 2001 في الشكل (2) متضمنا الوقت. 


رك 
الحا 


الشكل (2). 


مع ظهور أطر عمل شاملة ل «هيكلة المؤسسة» اليوم» تحظى المنظمات 
بفرصة الاستفادة من الاتجاه الشموليّ في «هيكلة المؤسسة»., لتحقيق تكامل 
اقم كنا بدن أ رقع عقي ب ونكيات؟ أذ المعو ياك هجرلا نعود ات 
المضادة؛ والطريقة التي نُستخدم فيها المعلومات في المنظمة. ويمكن أن يُعدَّ 
هذا التطور تقدما في التصور لنسخة 2001 من نموذج (تعط مده 11) . 


بينما زادت نسخة (2001 ,[.21 ]6] لإاعهههء343) مواصفات المعلومات الثلااث 
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ل (#وطسدته34) إلى خمس حالات أمنية» وحدّثئت إجراءاته المضادة لتعكس 
المنهج الحالي ل «الدفاع المعمق عن المعلومات». بقيت حالات المعلومات 
الثلاث: الإرسال». والمعالجة والتخزين بلا تغيير. 

قد ينظر إلى غاية (23561ن81»0) فى وصف «حالات المعلومات»», على أنها 
طريقةٌ للنظر في علاقة المعلومات؛ عند لحظة معيّنة من الزمن» داخل نظام للحماية 
والإجراءات المضادة. لقد أثبت نموذجه المفاهيمي على أنه مفيد للغاية في تعليم 
العاملين في حقل أمن المعلومات. لابد من القول إنه عندما طْرِحٌ نموذجُ 
(2562ا310) كانت شبكات حاسوب وأنظمة المعلومات لا تزال في مرحلة الطفولة» 
وكان نهجٌ «هيكلة المؤسسة» لا يزال حلماً بعيد المنال؛ وبالتالي فإن «حالات 
المعلومات») ل (201061) مقاربةٌ «جيدةٌ» لوصف هذا البعد الثالث للمكعب. 

إن «هيكلة المؤسسة» كبديل ل «حالات معلومات» (3810010665) تسمحٌ 
بمستوى لم يسبق له مثيل من الأمانة والفهم لمتطلبات تأمين المعلومات 
والإجراءات المضادة وعلاقتهما بكيفية استخدام المعلومات في المنظمة. 

يمن 0 اعكة ال كبعدٍ ثالث المنظمة 0 على نحتمي 
5-7 التشغيلية والبنية الحنة التفنية. إن هذًا 0 0 (اءط طتتن» ]/3) 
والتحديث من قبل ([.21 61] ,لإتاعةهه8136) مبيّن فى الشكل (3). 
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الشكل (3). 
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ثمة عدد من الفوائد التى تُكتسبٌ نتيجة لهذا الاتجاه الجديد. إذ يؤدي 
استخدامٌ «هيكلة المؤسسة» إلى وجود رابطة بين مهمة المنظمة والتقنية يمكن أن 
نُطبّقَ عليها متطلبات تأمين المعلومات والإجراءات المضادة. تُقَدَمُ «هيكلة 
المؤسسة» كذلك مقاربةً مبنية على المعلومات مقارنة بالمقاربة السابقة التى 
كانت مبنيةَ على النُظم أو المنظومات. 

باعتبار أن جميعَ عمليات «هيكلة المؤسسة» تنطلقٌ من المهمة الرسمية 
للمنظمة» فإن هذا النموذج العديه عقن كالتماب أل مكار كه قادة 
رفيعي المستوى ممَّن يقومون بتحديد مهمة المنظمة. 


عندما تُطبق دقة «هيكلة المؤسسة» بدلاً من حالات المشروع السابقة على 
البعد الثالث للنموذج» فإن المعلومات تُوْحَذٌ في سياق أكثر صلة. 


نُوجد «هيكلةٌ المؤسسة»» عندما ينظر إليها في علاقتها مع متطلبات تأمين 
المعلومات والإجراءات المضادة» رؤية واضحة قائمة على متظور: مَينيٌ على 
دور «المتطلبات» و«الدفاع المعمق عن المعلومات». فعندما يَنظرُ أي شخص في 
الهيكلية التى اعتمدها هؤلاء القادة رفيعو المستوى» سواء كانت هيكلية سيرورة 
الأعمال» أو العمليات أو التقنية» سيرى بوضوح ما يقابل كلا منها من متطلبات 
تأمين المعلومات والإجراءات المضادة. 


بهذه الطريقة» يُعطى القادةٌ رفيعو المستوى أيضاً الفرصة ليقروا على 
مستوى المؤشسة» آيا من متطلبات 'تأمين المعلوفنات.هو الأنسب :لكل من 
وحدات المنظمة. يجب أن يُمنحَ جميعٌ أفراد المنظمة الفرصة ليشاركوا في 
تحديدٍ متطلبات تأمين المعلومات والإجراءات المضادة الضرورية التى تخصّ 
الكية الت وطنارة بها عمق اقناكلة الموسة يعن ان شلك أيضا كن 
شخص في المنظمة الفهم المناسبّ لسياق دَورهٍ في تأمين المعلومات. 


استنتاجات 


على الرغم من العطوزات "السريعة من التققية والسياننات الميتكرة 
والمقاربات الإجرائية» وبالرغم من التأكيد المتزايد أبداً على التعليم» والتدريب 
والتوعية» إلا أن تأمين المعلومات لم يُصبح أسهل تنفيذاً. هناك حاجةٌ إلى 
مقاربة منهجية جديدة تأخذ بعين الاعتبار متطلبات تأمين المعلومات بدقة أكبر» 
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وتكون شاملةً جميع وسائل الدفاع الممكنة» وتعترفٌ بأن المهمّ في دعم 
سيرورة أعمال المنظمة هو المعلومات ليس الأنظمة. 

إن الجيل الثالث لنموذج (ءط تست ه01 ؛ بعد إضافة «هيكلة المؤسسة» 
لهء هو نموذجٌ مفاهيميٌ بامتياز ويُشكل قاعدةً لمقاربة تحليلية وهندسية لتلاقي 
وتلاؤم المتطلبات والإجراءات المضادة مع المعلومات. إذ يَدمُحُ هذا الاتجاهُ 
أنظمة تأمين المعلومات مع الإدارة أكثر من أي وقتٍ مضىء ويُشكل إطارَ 
عمل يُطوّرْ باستمرار. 


بما أن التقنية» وسيرورة الأعمال» والتهديدات الموجهة إليهماء تتغير 
باستمرار» يتوجب على أمن المعلومات أن لا تحاول فقط الاحتفاظ بوضعها 
وإنما أن تبحث عن الفرص التى تجعلها سَبَّاقَة وأن تبقى فى المقدمة. لقد 
اميه مان الشا دا نسي يد ابت قن البنية ولا تقم بإضافتها لاحقاً» 
الوصفة الطبية المثلى لمختصى أمن المعلومات لسنوات عديدة. ولكن بناء 
الول التجيه الادييةا «الجتياء سمي العدان اقل مواقم البناي إن البقاط المكيه ذا 
بخطة. هذه الخطة هي التصميم المعماري. وهذه هي النقطة التي يجب أن تبداً 
منها عملية أمن المعلومات أيضا. 


مراقبة الموظف مقابل خصوصيته 

إن المنظمات الحكومية والتجارية قادرةٌ في معظم الحالات على مراقبة 
استخدام الموظف لآجهزتها وشبكاتها المعمارية الممتلكة من قبلها. يكفي لذلك 
إصدار وثيقة سياسة العمل الرسمية وتوزيعها على الموظفين كتوجيهات». 
مُصرّحة بأنَّ المنظمة تسمح (أو لا تسمح) باستخدامات محددة للتجهيزات. 
ويُرافق هذه الوثيقة التصريح بأنه لا يتوجب على الموظف أن يتوقع أَيَّة 
خصوصية في استخدامه للنظام» هذا كل ما يلزم من أجل تنفيذ السياسة. 

ولكن أين يجب رسم الخط الذي يُحَدَّدُ الاستخدامً الشخصيّ المقبول؟ إذا 
ما استثنينا منع النفاذ إلى اللائحة الواضحة لمواقع: المقامرة» والإباحية» 
والمستحضراتٍ الصيدلية غير الشرعية» ومواقع التواصل الاجتماعية» فما هو 
المقبول عدا هذا الاستثناء؟ هل يعتبر منطقياً أن يُسمح للموظفين تفحُص 
الصفحة الالكترونية للطقس («دمه.2وطاه7) فى أشهر الشتاء ليحددوا إلى أي 
وكاكرو كر النافقة رعيكة لفو وها زباذا عن الجاع للوالدين رديار 
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الصفحة الالكترونية لتقديم الرعاية للأطفال والمزودة بكاميرات ليتأكدوا من 
سلامة أطفالهم؟ ماذا عن تفحص موقع (0212[.003) للأخبار عندما يقع حادث 
أو كارثة خطيرة بالقرب من المنزل» والتي قل تؤذيهم أو تؤذي أسرهم عند 
عودتهم إلى المنزل؟ 


يبدو أن القرار الإداري الذي يعتمد على «العرف العام» في ما هو مقبول 
وغير مقبول هو أفضل طريقة للحل باعتبار أنه من المستحيل تحديد كل 
الحالات الممكنة. إن ما هو مهمء من وجهة نظرٍ كلّ من الموظفٍ وربٌ 
العمل هو وجودٌ خطة عملٍ مكتوبةٍ تحتوي على توجيهاتٍ تُرسل لجميع 
الموظفينَ حتى يكونوا على دراية بها. باعتبار أن التقنية تتقدم باستمرار وباعتبار 
أن خدمات ومنتجات ذكية جديدة تدخل في الاستخدامء هل على الإدارة الأخذ 
ببعض الاستثناءات؟ بالطبع ‏ إن كلا من وسائل المراسلة الفورية (1316) 
والهواتف النقالة المزودة بآلة تصوير هما الآن حالتا قلق لمسألة الخصوصية 
وأمن المعلومات. يجب أن تُطْوَّرَ السياساثٌُ (أو نُوسّع) للتعامل مع هاتين 
التقنيتين بحيث تعكس توقعات الإدارة لاستخدامهما (أو عدم استخدامهما) في 
مكان العمل. 

كزاقة العامة التعضياسه الس «توطت عاينن الجدسة الدتووة 
الماف ليان :وري الالكتوري ليا الشاكد من موف الوروك المفكة 
وجودة الإيصال. يجب أن يُعلم لجرو المشتغلون في هذه الأنشطة سياسات 
ومعايير المؤسسة حول تسجيل محادثاتهم ورسائلهم من خلال تعليماتٍ مكتوبة 
وأيضاً من قبل المشرفين عليهم. إذا ما نظرنا إلى الموضوع من زاوية أمن 
المعلومات» نجد أن إعطاءً الزبائن معلومات كثيرةً جدأً قد يكون سيئاً كإعطائهم 
معلومات قليلةَ جداً. على سبيل المثال» في حالة التأمين الطبي أو النتائج 
المخبرية الطبية الروتينية. 

فى بعض الحالات ‏ مثل أسواق الأوراق المالية ووكالات القوات 
تله و الكت طش عافن مكار نا متطقنا ] نشاء مان تسيل اللجلاك :رامنا عه جر 
أجل تسجيل كل التعاملات التي تحدث عندما يَدخْلٌ الموظف إلى النظام أو 
الشبكة» أو يَنقُذُ إلى المعلومات أو يُرسِلُ ملفات. من الواضح أن إمكانية 
المتابعة هذه غالية الإنشاء والمتابعة» ولكن عندما يحدث أي انتهاك للأمن» 
تُرْوَدُ هذه المقدرةٌ معلومات مفيدة في فهم ما حدث؛» متى حدث وَمِنْ قِبَّلٍ مَنْ. 
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إن جميع هذه التفاصيل حاسمة في تحديد خطورة الانتهاك الأمني الذي حصل» 
والضرر المرافق له. وما الذي يتوجب فعله للحد من أيّ أثر آخر في المنظمة 
وأشخاصها وزبائنها ومساهميها. 
سياسات إدارة نظام أمن المعلومات 

تُطْبِقُ سياساتٌ إدارة أمن المعلوماتٍ على نشاطات إدارةٍ النظام مثل إدخال 
أسماء المستخدمين وامتيازاتهم الأمنية. يقومُ بهذه النشاطات عادةً فريقٌ صغيرٌ من 
مهندسي الأمق مدصي النظام من ذوي الخبرة والموثوقين بدرجة عالية» 
ا 0 0 0 1 ا يلترم 00 


وترون سبعريات 9 إلى المعلومات. تقد هذه الطرائقٌ كا ورقابة 
لكل من الإدارة والمستخدم في حالة حدوث الأعطال الفنية أو اختراقات الحماية. 


يوجد. من وجهة نظر إدارة تقنية المعلومات» عنصران حاسمان للتحكم 
هما: (أ) وجودُ مدراء موثوقين يتمتعون بخبرة تقنية عالية» (ب) وضع سياسات 
شاملة لإدارة أمن المعلومات تتفْو رات كامه المؤسسة. يُركرٌ العديل من 
المنظمات على العنصر الأول ويفترض أن مدير النظام سيُعنى بالعنصر الثاني. 
قد يكون هذا مقبولا في بعض الحالاتء. ولكنه في العديد من الحالات 
الأخرى لا يكون مدراءٌ النظام مدربين على رسم سياسة أمن معلوماتٍ تتفق 
مع» وتبقى متبعة» لأهدافٍ عمل المنظمة. 

بما أن أغلبية مشاكل أمن المعلومات هى مشاكل من داخل المنظمة» 
لذلك ينبغي أن تراجع الإدارة إجراءات تسياننات إدارة النظام على الأقل مرة 
واحدة في السنة من أجل التأكد من أن مستويات الأمن المطلوبة متّبعة. وإن 
التعاقدت على رقابة إدارة النظام من جهة ثالثة والحصول على شهادتها تعد وجهة 
نظر صائبة أيضاً. إن البنودَ المحددةً التى يجب الأخذ بها فى سياسات إدارة أمن 
المعلومات عضمن ها يلن” ا ا 

1. تحديد عدة مستويات للموافقة على إضافة أشخاص جدد إل النظام 
(يمنع هذا الإجراء وجودٌ مؤعيع واحدٍ للفشل). 

2 التفقد الدوري لمستويات وامتيازات دخول النظام أمنياً بغية منح 
مستويات أعلى أو أدنى لدخول المستخدم. 


53 


3. المبادلة الدورية فيما بين أعضاء الطاقم المسؤول عن منح التراخيص 
الأمنية وتكليفهم بمهمات مختلفة وجديدة كل بضعة أشهر لتقليل فرصة اختراق 
الأمن الناتجة من اطمئنان الموظف إلى أنه لن يكتشف بسبب بقائه فى منصبه 
لمدة طويلة. ١‏ 


4. ضرورة وجود عملية رسمية لإدارة الوثائق التي تُمَصّلُ متى أضيفٌ 
خاص بذلك. 

5 وجود وظيفة للرقابة وتفتيش امن الكلوفاك بهي أجل “تمدن الونافق 
والإلتزام بالتعليمات: 


6. تَجَنّبُ «تضارب المصالح» المعروفة بين إدارة أمن للمعلومات 
والمستخدمين» مثل سماح الزوج لزوجته الموظفة معه بدخول مستوى أمني 
أعلى. ومن المفيد وجود جهة ثالثة حيادية تؤدي عمل إدارة النظام مما يحدّ من 
تسرب مسألة «تضارب المصالح» إلى النظام. 

7 التَأكّدُ من أن إدارة أمن النظام تتلقى تدريباً على جميع محاور التقنية 
الجديدة التي تعينهم وعلى إجراءات وسياسات المنظمة. 

8. ربط سياساتٍ الأمن بالسياسات التي تحمي سيرورة عمل المؤسسة من 
حداف لانحلية اليا عية ولكنها دي تي الر قي ددن على نوقلي 
وصول المزود والزبون إلى المعلومات التي يحتاجونها ليشتروا المنتجات 
والخدمات أو ليستكملوا مخزون المستودعا 


المساءلة الاحترافية 

تواصل أصحاب العلاقات خلال الأزمات وخارجها 

لدى كلّ منظمة مساهمون أو أصحابُ مصلحة منهمكون فيء» أو لديهم 
مصلحة في »2 عملياتها وإجراءاتهاء ونتائجها المالية» أو المواجهة ع المواطتين 
في حالة المنظمات 0 باعتهان أن تقنية ا 0 تقريا في كل 


الجيدة والسيئة. عندما تسير العمليات على ما يرام بع مشاكل قليلة وعادية» 


تَصدرُ التقارير الروتينية ويُرسِلُ البريد الإلكتروني بآخر الأحداث والأنباء كل 
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أسبوع أو أسبوعين, ويُعدَ هذا مقبولاً. أما إذا ما حدث أي اختراق لأمن 
المعلومات مسبباً تعرضاً تنظيمياً أو قانونياً أو مالياً. فإن المساهمين يحتاجون 
إلى مستوى عال جداً من الاتصالات مع المسؤولين والإدارة العليا. تحتاج إدارة 
تقنية المعلومات إلى تأسيس أربعة أبعاد للاتصاللات: 

2. إنشاء قنوات اتصالٍ مباشر. 


3. تطوير الرسالة. 

4. إدارة الرسالة. 

إن لدى مدراء تقنية المعلومات التنفيذيين ولدى الإدارة العليا المشكلة 
نَفْسّها التي يعانيها رجال السياسة المنتخبون وهي: تجاوز «الضجيج الإعلامي», 
للإجابة عن الأسئلة» وتقديم المعلومات. في البيئة الحالية للدورة الإخبارية 
النشطة على مدار 24 ساعة» قد يَقَلِبُ أي شيء يحدثٌ في العالم الأخبارَ 
الجيدةً إلى مثبطة للهمّةء والأخبارَ السيئة إلى مثيرة. إنها حقيقة من حقائق الحياة 
اليوم أن يَجِمَعَّ الزبائنُ والمساهمون المعلومات طوال ال 24 ساعة وعلى مدار 
الأسبوع, ويقارنوا المعلومات التي تزودها وسائل الإعلام بتقارير الإدارة؛ 
ليدركوا الفروقات إن وجدت. خلال أوقات الأزمة "مغل : اختراق أمن هام» أو 
تَسَرْبٌ عَرَضى لملفاتٍ أو معلومات الزبون» أو فقدانٌ البياناتٍ أثناء عاصفةء أو 
عدم القدرة على مغالجة قاديز كبيرة تمن بباناف الميفات _العرفل كمي 
المعلوماتٍ الكبيرة «إدراك» ما يحصل أو ما حضل بالضبط. ولكن حتى تكسب 
المؤسسة أو الشركة الدعم السياسي أو دعم المساهم (الذي غالباً ما يكون صعباً 
جدا) يحت أن 'يكون متاك تفسيراك يسيطة للمشاكل المعقدة: 

نبيّن فيما يلي منهجيةً متعددةً الأبعادٍ من أجل ربط معلومات المساهم بكلٌ 
من المعلومات السلبية والإيجابية. 


أدر طور 
الرسالة الرسالة 
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البعد الأول : 

© حدد توقعات المساهم والزبونٍ بصدق. 

© أدرك «لماذا» (لماذا 0 بهذا الوضع؟) 

© حدد ١متى»‏ (ما توقيت الحدث الذي آثار اهتمامهم؟) 

© تعرّف «من» (من هو الذي يهتم بالضبط؟) 

© تفقّد ١كيف»‏ (كيف يستجيبون أو يتفاعلون؟) 

© تحرّ جداول الأعمال السّرية (لماذا يستاء بعض الأشخاص من دون 

يزه 4 

© سد الثغرة بين المساهم والزبون (ضع نفسك مكان كل منهما). 

قم بطرح الأسئلة لتستخرج منها الإجابات» إذا كانت المعلومات غير 
معطاة بشكل تلقائي أو غير متوفرة بسهولة. استمع إلى من يتكلم وافهم سبب 
استماع الاأخريق ايض حدد من المستفيد الأكسن» ومن الأقل«ربحاء أكد 
افتراضاتك بالتداولٍ مع جميع المعنيين لأن التفاصيل قد لا تكون واضحة. 


البعد الثاني : 

إنغاء قتوات ناص "عياض : 

لماذا هذا الإنشاء مهم؟ إنه مهم لتجنب تسريب أو سوء إيصالٍ رسالتك 
للآخرين الذين قد لا يملكونٌ جميعَ المعلوماتٍ التي تملِكها أنت. يَخْلِقُ 
الأتفيان داشر هين اا دواتيذا وققت مو التفزين الذى يشم فنيية العديد 
من وجهات النظر لكل منّ الأخبارٍ السيئةٍ والجيدة. 

كيف يمكن لهذا التواصل أن ينشأ؟ 

© أنشر «رسالة إخبارية» شهرية لأمن تقنية المعلومات. 


بتحديثه يومياً. 


© اجعل من نفسك «الصوت الواحد» فى كل الأوقات» وفي كل مكان. 


56 


© أجب عن الأسئلة التي تتعلق بالأخبار الجيدة بشكل سريع وعن الأسئلة 
التي تتعلق بالأخبار السيئة بشكل أسرع. 


البعد الثالث : 

طوّر «الرسالة»: 
وإذا كان كل من لي أو اما سيستفيدون من ياك الأمن يك 
يعلموا بذلك. وإذا كانوا سيتأئرون بشكل سلبي مالياً أو قضائياً فأعلمهم بذلك 
أيضاً. ١‏ 

إن الرسائل الجيدة «تُعالجُْ بوضوح» القضايا الجوهرية التي يواجهها 
المساهمون (سمعة المؤسسة» والتأثير المالي والنمو المستقبلي) والزبائن 
إلى" التيدلوفات) 

إطلع على الأمور التي يسأل عنها الزبائن الور ل سن 
مصطلحاتهم. إجعل الرسالة مختصرة ومركزة». واستثن ع التراريع المحددة» 
والفعبانا قضيره الأعد أو القهانا المالنة البح لز تكون ماعنا نف 

عندما تكون د جيدة» أخبر الك 1 السبب 2 جعل 0 
1 9 ومن الذي 3 يتأثر 9 م لاتب وراء ذلك + هي 


البكلون: خسري 


البعد الرابع 
أدر «الرسالة» : 
إن تحديد تواتر وكيفية وفرص إدخال التحديث لرسالتك. هي قرارات 


إدارية رئيسية. يمكن عادةً إصدار الإعلانات عن الأخبار الجيدة في أي وقتٍ 
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لتلائم جدولَ كل المعنيين. أما عند الأخبارٍ السيئة فلا يوجد وقتٌ مناسبٌ أبداً 
لإخبار الزبائن والمساهمين بها. فمن الممكن توقيت إصدار الرسالة عندما تصبح 
لديك معلوماتٌ دقيقةٌ لشرح ما حدتٌ» ولماذا حدتٌ» وما هي خطط العمل 
الإصلاحية التى بُدئت. إن الإعلانَ عن معلومات دقيقة أفضل من عرض تكهنات 
مبنية على افتراضات متغيرة سريعة. 

إذا اقتضى الأمر تقديم أي تحديثات» أخبر الجمهور متى سيتم تزويدهم 
بهاء وبأي شكل (طريقة العرضء البريد الالكتروني» الرسالة الصوتية» الإعلان 
على الموقع في الإنترنت. . . . الخ). 

قد يكون للعوامل الخارجية تأثيرٌ في مجالٍ ومصادر أمن تقنية المعلومات 
الى يتب أن تذكن إلى كل .مع المساعسه والربافق أثتاء قذي العروض 1 باذ 
توجد حالات خارجة تماماً عن أيّةِ سيناريوهات أو تخطيط معقول» مثل 
هجمات 11 أيلول/ سبتمبر عام 2001 على البنتاغون» ومركز نيويورك للتجارة 
العالمية. 
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الفصل الثالت 
حماية المعلومات الخاصة بالزبون 


تشارلز ريكس الرابع (17) 


جامعة الدفاع الوطني» الولايات المتحدة الأمريكية 


المقدمة 
إن حماية المعلومات الخاصة بالزبون أمرٌ حاسمٌ لنجاح المنظمة. لذا 
يتوجب على الشركات أن تمتلك خطة إستراتيجية لأمن المعلومات التى 
يزودها الزبائن بها بغية الحفاظ على عدد الزبائن الموجود وكسب زبائن 
جُدد. تقع هذه المسؤوليةٌ على عاتق الشركة» فالشركة التي تعطي قيمةً مضافة 
إلى الزبون» وتؤمن أفضل الوسائل نفعاً لفعل ذلك. سوف تفوز في السوق 
التنافسى. 
إنه لأمرٌ واضمٌ أن حماية المعلومات الخاصة بالزبون مهمةٌ صعبةٌ في 
المحيط التقنى المتنامي والمتغير بسرعة. على أية حال» هذا هو التحدي الذي 
يتوجّبُ على جميع الشركات القيام به لتتنافس بنجاح في عالم التجارة. 
وبالنتيجة» فإن على المدراء التنفيذيين وإدارة المنظمة مسؤولية ائتمانية تجاه 
حاملي أسهّمهم لزيادة قيمة الشركة. تزداد قيمة الشركة بازدياد عدد الزبائن» إلا 
أن إخفاقات الآمن تضعف من هذا المسعى. 


تجامد 'الحدزاة والسينيوة يريو تفقنات. الأمق 'الفى' لذ عط اعانداً 
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فوويا على الاسعتيناف “فظو إلى "أن اسن تقنية"المعلومات جز لحر حناسرة: 
يضاف إلى هذه الصعوبة التعقيدٌ في تحديدٍ الثغرات الموجودة في هذه البيئة 
الديناميكية وفي تحدين الكبيويكات التي الي قنع رد 1ع كفت عن 
نفسها. كذلك تَصعبٌ موازنة المخاطر مع القيمة المكتسبة من الاستثمار في 
تقنيات أمن المعلومات». وإن المبالغة في أيّ من طرفي هذه المعادلة تسبب 
الفشل. ش ْ 

تكد عؤاية ‏ الساناف الحافنة التموة إلى اناده كر ود عافد الزيقك 
بالشركة 4غ إنها تل إلى غلاقة الشركة بالشركات الأشرئ على طول فلسيلة 
التزويد من أسواق التوزيع إلى المموّنين. وقد تؤدي إخفاقات أمن المعلوماتٍِ 
إلى عواقبت فاتولية ”فد تعط| اقدرة الشركة على العمل. تتطلب إدارةً مسؤولية 
الأمن قيامَ الشركات بتصميم خططٍ إستراتيجية لتأمين المعلومات على أن تتصف 
بالديناميكية في طبيعتها لتتناسب مع الساحة التقنية دائمة التطور. تربط هذه 
المخطلط: الانلية اتسيف بالخجوام اك ار هافن الشاصلة لحن عت" أن انكر هرد 
امار البق المتعيرة سرع ْ 


تحديد المعلومات الخاصة بالزبون 


ما هي المعلومات الخاصة بالزبون؟ إنها جميع المعلومات التي تحصل 
عليها المنظمة من أيّ تفاعل مع الزبون القائم أو المحتمل» بالإضافة إلى 
معلومات الزبون التي رودت من مصدر خارجي. قد تتضمنٌ القائمة الجزئية 
لهذه المعلومات ما يلي: الاسمء ومعلومات الضمان الاجتماعي» ورقم 
الناقفود «والسكوان + والتقوم والتعسنه والضالة اللحساعية» والسلدلة 
والعرق» والتعليم» والمعلومات الائتمانية» والدخل» والمعلومات الأآسرية 
وبيانات الوظيفة. 


يحتفظ العديُد من المنظماتٍ بهذا النوع من المعلومات. فعلى سبيل 
التمشال:: خرن دوائرٌ دخل الحكومة من الضرائبٍ (185) كمية هائلة من 
المعلومات عن زبائنها (أي دافعو الضرائب). تحصل (115) على هذه 
المعلومات من أصحاب العمل. وعلى الرغم من أن (185) لم تحصل على هذه 
المعلومات مناشرة :مق الزورة ‏ إلا آنا تسن سسؤولية أمن هده المعلوياك: 
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الثغرات والتهديدات 

إن «الثغرة» في مصطلحات الإنسان العادي هي خلل في التجهيزات» أو 
اللركحاه لحاسو ار نظام السيكفه. أو فى يرل اطول إلى تقام اليك 
أو الحاسوب. في الحقيقة تكون الثغراثُ مطلوبة لتسهيل الاتصال بين 
حاسوبين أو أكثر. فإذا اتصلتَ مع حاسوب آخرء فأنت بالنتيجة تُجري نوعا 
من التغيير في نظام الحاسوب الآخر. وبينما يعد هذا العمل مرغوباًء إلا أنه 
قد يُستغل أيضا. 

إذا ما استغلّتِ الثغرة فإنها ستصبحٌ تهديداً لنظام الحاسوب أو الشبكة. قد 
يكون التهديدٌ أيضاً شخصاً أو نظاماً حاسوبياً خبيثاً يسعى إلى إحداث الضرر 
لنظام حاسوبي آخر أو لشبكة أخرى. 

بينما ستتواجدٌ دائماً ثغراتٌ فى شبكات وأنظمة الحاسوبء» إلا أنه قد لا 
يوجد دائماً تهديد. من الفبرووق الجشاة إلى أن الذي قد لا يكون ثغرةً أو 
تيفودا في لومت التعالى وقد له بنش علق دنه ماله تفي المست] > “قفن 
تظهر فيما بعد فجأة ثغرةٌ غير موجودة على أنها تهديدٌ نتيجةٌ لتقنياتِ حديثة 
مثل تحديثات البرمجيات» والأجهزة التي تضاف إلى الأنظمة المربوطة على 
العنبكة: 


ثروة المساهم 

ترؤوفة شوق الحازة الالكترؤقة قيحة "للعلاقات الستزابطة عير الشركات: 
إن الشركات التى فشلت فى تبئّى التجارة الالكترونية قد استُبدِلّت أو أنها 
تتخبط في المياه لتبقى طافية. لقد غيِّرَ التنافسٌ العالمي اقتصادَ جميع الأسواق. 
فلم يعد لدى الشركات خيارٌ العودة إلى طرقها القديمة في ممارسة الأعمال. 
فأنت لم تعد قادراً على إعادة العفريت إلى القمقم» فقد فتح صندوق 
«باندورا» لكلا 

توس لانة تداغمية نين الزيائو والسفيرية تكنا اسيك الشركة زنانن 

() أي فتح الصندوق ال ليء بالشر» وانتشر هذا الشر في كل مكانء ولم يعد بالإمكان إعادته إلى داخل 
الصندوق. هذا تعبير من تعابير الأساطير الإغريقية» حيث «بندورا» كانت المرأة الأولى على الأرض وهي التي 


كسرت الجحرة المليئة بالشر الذي انتشر في الأرض ولم يعد بالإمكان لملمته. 
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ازدادت قيمتهاء وكلما ازدادت قيمتها أصبحت أكثرَ جاذبية» من حيث الربحية» 
الميشدزية.:لذللق تعلي إذارة الشركة وتفلييها سبؤولية اتمتاتية تحص فى 
اتخاذ القرارات التي تزيدٌ من قيمة الشركة. ١‏ 

تسننب إخفاقات أمين: المعلؤحات: دمارا لهذه الغلاقة بيبخ الوباتن 
والعمسوريي» تسوه الفط إن العتدين عالق كاف لتق العراء اف الام زلا 
بعد وقوع الضرر. تظهن هذه الأحفاقات عادة على الشكل الثالئ:؛. مجمات 
الوكوفاة امن الغدية والمبروسباك تماق البريك الالككتروق» قد حص هذه 
القائتمة وتستمرء إلا أن الهجمات فى الكثير من الأحيان 52 بدون أن 
تلاحظء فى بادىء الأمر على الفا في بعض الأحيان ولسوء الع تكون 
الهجمات 0 الملاحظة الأكثرَ إيذاءً. كما في المثال الآني : 

في عام 2001م تلاعب أبراهام عبد الله البالغ من العمر 32 عاماً. على 
أكثر من 200 شخص من لائحة (70:565) «أغنى 400 شخص في أمريكا» عن 
طريق سرقة هويتهم الرقمية. لقد جمع السيد أبراهام المعلومات عن هؤلاء 
الالسعاضن باستخدام حاسوب متاح للعامة موجود في مكتبةٍ في بروكلين - 
نيويورك. وقد نجح في قرصنة قواعد بياناتٍ تعود إلى , بعض أكثر شركات 
الائتمان أهمية في العالم وتحتوي على معلومات شخصية. 250 هذه 
المعلومات لفتح حسابات الدائنين بشكل مخادع, وبالنهاية سرق ما يزيد على 
0 مليون دولار. لقد احتاجت السلطات إلى أكثر من ستة أشهر كي تلقي 
القبض على أبراهام. وجدت السلطات في حوزته أكثرٌَ من 800 بطاقة ائتمان 
احتيالية و20,000 بطاقة فارغة. 

إن هجمةً بهذه الضخامة قد تُدمّر الشركة» إذ إن الإخفاقات الأمنية 
للشركات تؤدي إلى العديد من المضاعفات الخطيرة» وفي مقدّمتها عادةً فقدانٌ 
واضحٌ للزبائن. يُعلّم زبائن اليوم بسرعة بمضاعفاتٍ إجراءات الأمن الواهنةء فإذا 
أصبح واحدٌ من زبائنك هدفاً لمثل هذه الهجمةٍ بسبب إجراءات أمن غير كافية 
من قبل شركتك» فمن الأرجح أنَّهُ سيقطع علاقته معك. وعليه قد تتضاءل قيمة 
الشركة وتفشل في النهاية. 

قد يبدو أنه لتجنب حدوث هذا السيناريو يكفي قيامُ المدراء والتنفيذيين 
برفع شعار مفاده أنهم «سيحمون» أمنَ المعلومات. لسوء الحظهء إِنَّ المسألة 
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ليست بهذ الببداطة»:فهى لست فط امعلاك الأمن أو عدسه. أولا: إن من 
الفسيطع ‏ تقريا إزالة 0 الثغرات» إنه اقتراحٌ ممعي لأن النقفية تطور 
باستمرار. تُصمَّمْ أنظمةٌ الشبكة لتتصل مع أنظمة أخرى» وطالما أن الأنظمة 
تتصل مع بعضها البعض» فإنها سوف تسبب ثغرات لأن عملية الاتصال بحد 
ذاتها تتطلبُ تملك كل نظام القدرة على تبادل المعلومات مع الأنظمة الأخرى. 
يضاف إلى ذلك أن الاستثمارَ في أمن التقنية غالٍ إلى أبعد حد. لا تُرَجِعْ هذه 
الأنكمازاث عادة غاتذا املحوسا قوريا» ل غلن «العكين تنام تعاكداتها عنادة 
سلبيةٌ جاعلةً هذا الاستثمار غير جذاب. 

على الرغم من أن التكلفة الماليةة لحماية أنظمة تقنية المعلومات» وحماية 
المعلومات التي تحويهاء عاليةٌ واقتراح رصدها هو اقتراح غالٍء إلا أنها 
ضرورية. إذ قد يكون اختيار عدم الحماية مكلفاً أكثر في النهاية لأن الزبائن 
عندها ستُوقفٌ التعامل مع الشركة. إن إدراك أن عدم القيام بشيء ليس بخيارٍء 
يجعلٌ الشركة تعمل على إعداد خطة إستراتيجية لتدفع إلى الأمام حماية أصولها 
المعلوماتية. 

من الضروري منذ البداية إدراك أن الاستثمار في أمن تقنية المعلومات 
سيتطلب موارد مالية عظيمة» وأن العائد على الاستثمار غالباً غير ملموس. إن 
اتخاذ طريقة متقدمة في كل الاتجاهات لتأمين المعلومات تعطي نتائج مذهلة 
على أية حال. 

لقد بات من المسلّم بهء في ساحة العلاقات بين الشركات» أنَّ أمنّ التقنية 
هو من متممات النجاح. تبدأ الشركاثٌ بالتركيز على حماية أصولهاء وتُدرك عند 
قيامها بذلك أن الئغرات تتواجد نتيجة قيامها بتعاملات مع شركات أخرى. إن 
الابتكارات التقنية التى وجدت مكانها سريعا فى السوق» مثل تبادل البيانات 
الالكترونى (821) وأنظمة تخطيط موارد ال (8122) وأنظمة إدارة العلاقة 
مع لبون (830©)» قد أجبرت الشركات على دمج شركائها في استراتيجيات 
أمنهاء يجت أنه تملك الشركات شكلا عن الكخطيعان إلى أن لشتزكاتها فى الستورق 
آلياتِ أمن جاهزة كى تتجنب التهديدات المحتملة» وبالتالى فنك تدرا 
القائمة بين الشركات المتشابكة تقنياً. 1ش 


عادةً ما تمضى هذه العلاقة المتشابكة بين الشركات بدون إشكالاتٍ إلى 
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أن يخفىّ شيء ما. يتواصل المزودون إجمالاً من خلال نظام (821) مع 
شركات التصنيع أو مزودي الخدمة. لقد مكنَ هذا الاتصال الالكترونيُ 
الشركات من تخفيض النفقاتٍ غير المباشرة المرتبطة بتنظيم الجردء 
وتخصيص المؤونة» والشحن.. الخ. ويغطي نظام (811) عادةً عدة طبقات 
على طول سلسلة التزويد. إن أنظمة تخطيط موارد المؤسسة (587) الموجودة 
في شركات التصنيع أو تزويد الخدمة قد مكنتها من جعل عملياتها أقربَ إلى 
الكمال» ضامنين بأن الموارد متوفرة لإدارة العمليات بدون توقف. ترتبط 
كذلك أنظمة (61821 888) بأسواق توزيع البضائع والخدمات التي تقوم بها 
الشركة. وفي بعض الأحيان يرتبط الزبون بأسواق التوزيع مباشرة من خلال 
تقنيات (8231©). وكما شرح سابقاء قد يتواصل الجميعٌ عبر الابتكار التقني» 
على طول سلسلة التزويد الكاملة ابتداءً من الزبون حتى المزود. تسبب هذه 
العلدقة الخرائطة المذيد “شن المطراض" إنه ع اماس ١لا‏ لسك تحبرهها بلك 
قبل التهديدات. يتوجب على الشركات امتلاك القدرة على تحديد الثغرات 
الخطيرة على عملياتها المتواصلة فتقوم أولاً بحمايتهاء بينما تحمى الثغرات 
الأخرى». الأقل خطراء في ما بعد. 


زيادة عدد الزبائن والحفاظ عليهم 


يميل الزبائنُ إلى التعامل مع الشركات ذات السمعة الحسنة» التي تقدم 
الآخرين» وتتعامل مع المستخدم بشكل ودّي. يستطيع الزبائن» في بيئة 
السوق العالمية الحالية» التعاملَ افتراضياً مع أيٍّ شركة في العالم. لم يكن 
هذا ممكناً في الماضيء» فلقد كانت الشركات معزولة عن المنافسة العالمية 
بفعل الجغرافياء والعملات» واللغات. إن ذلك لم يعد موجوداً في سوق 
اليوم. 

لكي تكتسب سمعةً حسنة يجبُ على الشركة النجاح في أمرين: أن تعرض 
أعروة المنععات ان العدقات وإن تلك سحل أذار درك به “قن عير 
الإنترنت» تنتشر الإخفاقات فى هذين المجالين كالحريق الهائتل» فمن الممكن 
الوصول إلى سجلات الشركة بلمسة زر. إن انفتاح السوقٍ العالمية قد عَرَّرَ 
المنافسة القوية بين الشركات» إذ يستطيع. الزبائن: الآنْ المقارتة بين متتجات 
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العديد من الشركات للحصول على السعر الأكثر تنافساً. تؤثر كذلك تجربة 
الشراء وسهولتها في قناعات الزبون. إن تضافر كلّ هذه المعايير قد يثبّتُ البيعَ 
أو يوقفه. إذا فشلت الشركة في أي أمر من هذه الأمورء فإن إمكانية زيادة عدد 
الززائى والدواطا كاه ميم كير اده 

يجب أن يَطْمئْنَ الزبائنُ إلى أن معلوماتهم مهمةٌ للشركة وسوف تُحفْظ 
كذتك: على سبيل' المثال: فى تخالة الضلقة الفى تيرم من خلال شيك 
الإنترنت» من الضروري امتلاك الشركة آليات أمنية تحمي بطاقة ائتمان الزبون 
أثناء الإرسال عبر الإنترنت. إن إجراءات الحماية مثل 55-5 المخدة الآمنة 
وجلسات الإنترنت التي تضمن الخصوصية؛ قد تسهل هذا الهدف. فور 
الحصول على المعلومات من الزبون يجب أن توضع تحت الحماية» فثقة 
الزبون هي الهدف. 


المسؤولية الحرفية 

لا بد لإخفاقات الآمن من الحدوثء. فالشركات التي لم تقع في قبضات 
الاعتداء على أمن معلوماتها نادرة. إن مستخدمى الحاسوب الشخصىء أيضاء 
على دراية ببعض التبعات المدمرة بسبب لاد الحماية غير الكافية ل 
فيروسات الحاسوب أنظمةً الحاسوب مدخلة الديدانَ وأحصنة طروادة» مخربة 
رموز الحاسوب ومسببة بذلك ساعاتٍ من الإحباط. إن تكلفة هذه الثغرات 
غابة اليه إلى الساسيا الراحيه لكا عضو ساني البكن الس 
المتشابكة الهائلة. قد تخسر بعض المؤسسات ملايين الدولارات يومياً بسبب 
هذه الاعتداءات. 

تواجه المنظمات في كلّ من القطاع العام والخاص تحذياً آخر أيضاً 
عندما تُستغل ثغرات نظامها. يتمثل هذا التحدي في السؤال الهامٌ: هل من 
الأفضل إعلام السلطات بالهجمة» وهل تُنشرٌ المعلومات بخصوص الهجمة 
على العامة؟ 

إن تقديمٌ تقرير حول حوادث أمن المعلومات إلى السلطات أمد حساسٌ 
بطبيعته. ولكن من جهة» تحتاج الشركة إلى المساعدة من كل الجهات وإلى 
عدم إفشاءِ أسرارهاء إلا أن السلطات من جهة أخرى ملزمة قانونياً بتسجيل 
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التقرير حول الحادث والإعلام عنه من أجل أهداف الرقابة والتحقيق. إن مكتب 
المباحث الفيدرالي (1581)» في الولايات المتحدة على سبيل المثال» هو الجهة 
المنوط بها التحقيق في موادت الجرائم المعلوماتية في القطاع الاين ا و 
القطاعٌ الخاص أيضاً فرقاً سريةً للتحقيق القضائي ذ في الجرائم المعلوماتية كي 
تساعدّ في تذليل الصعوبات وحماية البنية التحتية. ينتفع انها القطاعٌ العام من 
خدمات ال (581)» ولكن المنظمات الحكومية الأمريكية التى لعملها صلة 
بالأمن الوطني يجب أن تُخبرَ أيضا وكالة الأمن الوطنية (54 1 


لقد تم تأسيس العديد من فرق الاستجابة لطوارئ الحاسوب (08115) في 
جميع أنحاء العالم» لتساعد المنظمات في العودة إلى الوضع السويٌ من بعد 
الاعتداءات على الحاسوب. إن كلا من القطاعين العام والخاص يستفيدان من 
خدمات (58118©). إنها مفيدةٌ للغاية أثناء الاعتداءات الأولية على الأنظمة 
الآلية. ابتدعت فرق (08115) تقنيات إثبات عديدة لتحديد المعتدي ولفديم 
الإرشادات حول إبعادٍ التهديد الحالي. 


إن الإعلانَ عن الاعتداءات والاختراقات في أمن المعلومات إلى العامة هو 
أمة تحياسن أنضا: إذ قد يؤدي إعلانُ إخفاقات الأمن إلى آثارٍ وخيمة. فبينما 
يوجد من يقول بأن على المنظمة مسؤوليةً حرفية وعليها أن تُبِلّعَ عن هذه 
الاختراقاتِ من أجل حماية مصالح الزبون. يوجد كذلك من يقول بعدم الأخل 
بهذه الخطط الإخبارية. إن الإبلاعً عن ثغرات الأمن بحد ذاتهء قد يؤدي إلى 
تصاعدٍ في الهجمات المماثلة على الثغرة نفسها. 


يجب على الشركة أيضاً أن تأخذٌ في حسبانها بأن الإبلاعغ عن خللٍ أمني 
قد يؤدي إلى خسارة الزبونٍ وفقدانٍ ثقة المستثمر. فإذا ما تبخرت ع المسكثمر 
والزبون» فإن الشركة لن تكون فقط مضطرةً إلى الإسراع في ترقيع الثقوب 
الموجودة في أمنهاء وإنما ستضطرٌ أيضاً إلى إعادة طمأنةٍ الزبائن والمستثمرين 
بأنه يجري اتخاذ الإجراءات المضادة لإيقاف الهجمات القائمة وتلك المقبلة. إن 
رقوة أفعال الزبائخ والمسكمرين العفوية» ‏ ستضاغف: وتطيل. الصعويات: 


إن على الشركات التي تَرتَبطٌ مع شركاء بسلسلة التزويد» مسؤوليةٌ إعلام 
شركائهم بالخلل الأمني الحاصل بُغيةَ الحد من انتشار ثغرات الأمن المدمرة 
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تبيّن المقالة «دراسة حالة مشهدٍ محتمل)» 26 ,متتقدءه5 'إ0نا5 عقوت" 
«كاع 12خ عع71ز1ء5 01 1أدنامء2[» :رك ) ادم صحطه0 اع تمدع 1 التي نشرها قسم إدارة 
الأعمال فى جامعة هارفرد عن حالة شركة مفترضة تعرضت للاختراق المعروف 
ب (التعرمان من الخدمة» (205)» الفوضى التي تنتج عند إخفاق أمن 
المعلومات داخل الشركة. على الرغم من أن هذا السيناريو ليس حدثا فعلياء إلا 
أن الأفعال المتخذة في هذه الدراسة تشبه بشكل ملفت للنظر الأفعال التي تقوم 

بها الشركات خلال الهجمة الأولى على (أمن معلوماتها). من المستحسن 
الحميون على نسخة من هذه الدراسة كوثيقة تدريبية لآجل جميع المستويات 
داخل المنظمة (2001 يصتاكنده) . 


أمن المعلومات لعبة خاسرة 


تعدا الأد و سعدا مي الحتظون ] لأياى: عكدنا تسوت قرا إلا بكرن 
عدم حدوث شيء هو أمر غير مقنع للإدارة العلياء والمدراء التنفيذيين» وأعضاء 
بجلي الاذاوت واليساهيية .ترذللة لأا فليا عرفا أن النجاحَ يعني عادة أن 
شيئاً ما قد حدث. إن إعادة تنظيم أدوات القياس لدينا من أجل برهان أن حالة 
عدم حدوث شىء هى فعلاً جيدة» لهو أمر صعب 0 أحسن الأحوال. تواجه 
وزارة الأمن الوطنى الأمريكية (2115) عائقاً مشابهاً. إذا لخدت شيء: نان 
الوزارة (5115) ناجحة؟ من الصعب قبول هذا المعتقد لأن النجاح في المفهوم 
التقليدي يعرّفٌ عادة على أنه التحسن في مؤشرات مالية قابلة للقياس. 


على أيَّةَ حال». يمكن الحصول على مؤشرات قابلة للقياس إذا كانت 
لدينا وضعيةٌ أمن معلوماتٍ قوية. وبرغم أن المؤشرات القابلة للتكميم في 
حالة أمن المعلومات هذه ليست من النوع المالي» إلا أن عدد الهجمات 
الكامنة التي تم صدها بنجاح تقاس رقمياً. وإذا كانت آليات أمن المعلومات 
جيدة افهي قادرة على جمع المعلومات حول هذه الهجمات المحتملة. ويجب 
أن كر كو تقارين كالة "أنم النعلونات على كا من تساسانها و بكقافات: عبلباك 
الدع هذه. 


إن عملية الإبقاء على وضعية أمن قويّة مهمة لا تنتهي أبداً» فالمحيط 


ادل بع منامكن اي فإن اماك 0 تتطور ات 
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الاستثمار في أمن البنية التحتية الذي لا ينتهي. على أية حال هذا هو الأمن, 
وهذا هو اسم اللعبة. 


لقد غيّرَ التطورٌ التقني مظهرٌَ السوق» فلقد مكّنَ الشركات من المنافسة في 
أسواق لم يسبق لها أن وجدت من قبل» وبطرقي لم يسبق حتى تخيلها منذ عقدٍ 
مضى. يستطيع الموظفون الآن أن يعملوا في بيوتهم عن طريق الحاسوب بدون 
الحاجةٍ إلى وجود مكتب في مركز المدينة التجاري. وبإمكان الموظفين أيضاً أن 
يعملوا افتراضياً من أي مكلو في الجالم باستعمال الحاسوب المحمول أو حتى 
المساعد الرقمى الشخصي (4٠©طام)‏ الذي هو بحجم كف يدك. ولكن مع هذه 
المرونة تأتي أيضاً الثغرات والزيادة في التهديدات. 

تكون البنية التحتية لأمن المعلومات جيدةً بقدر ما تكون أدواتها 
التععوة :3 لله تكلهات :ا خرى ودتقدل “رانك تزلات “لجابيويا “اكيرلا فزنيعلاً 
بحاسوب مخدم يؤمن شبكة افتراضية خاصة (958) مزودةً بإمكانياتٍ 
للتعمية (للتشفيراً تسمح لك بأمان إقامة اتصالٍ نفقي آمن بشبكة شركتك مع 
شهادات توثيق الهوية الخاصة بحاسوبك. إن تقنية الأمن هذه قوية بحسب 
أغلب المعايير» لكن تخيل استخدام حاسوبك المحمول عندما تكون في دولة 
أخرى مستعملاً خطوط اتصالاتٍ قد تكون خاضعةً للمراقبة من قبل أطرافٍ 
أخورئ متهكنة: إن عفد الصنقات عبن هذه الخطوط سكوك خاضعا اللتتصت: 
ومن الممكن أن يكون معرضاً حتى للاستغلال. إن احتمال حدوث خلل أمني 
أمرّ بديهي. 

تخيل مجدداً الحاسوب المحمول نفسّه مع آلياتٍ لأمن المعلومات ذاتها قد 
سُرِقَ من قبل سارق ما. إذا كانت لدى هذا السارق نيةٌ خبيثةٌ ومعرفةٌ عملية 
بالشاكوهم فمر و الجعسما افا سكين لباه الام تن 1 
المعتمدة. الحاسوب المحمول في هذه الحالة» تهديداً خطيراً على البنية التحتية 
للأمن» رغم أنها تبدو قوية ظاهرياً. 

دعنا نتوسع في هذا الموضوع أكثر قليلاء تخيل زبوناً ما يدير عملاً مع 
شركتك » عادةً قد لا يكون الزبون ضليعاً في الحاسوب» ولكنه يعلم ما يكفي 
لإنجاز صفقة تجارية عبر الإنترنت. من ناحية ثانية لا يملك الزبون جدارَ «نار) 
في حاسوبه. يستخدم الزبون اتصالاً ذا حزمةٍ عريضةٍ من الترددات» وبذلك فهو 
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متهن بالاتزقة يقكن مهيز كما انه قن افعاة بعل قولة يعاشيوية فى حالة 
عمل دائم بانعاء العا ولت عزوت العوامت» ققد لا بيعل ياف تزفنانا 
(هكاءة81) قد اكتشف رسائله الموجودة في الحاسوب وتتبعها وأنه قد حمّل 
برنامجاً على نظام التشغيل لديه يسمح للقرصان سَرقَة تعاملات الزبون حسب 
هواه. وبما أن الزبونَ قد أجرى تعاملاتٍ مع شبكتك» فإن طريقاً واضحا إلى 
بياناتك الحسّاسة قد قُتِحَ للقرصان. يقوم القرصانُ بسرقة جلسة الزبون ويبدأ 
باستغلال أنظمة حاسوب شركتك. بالاعتماد على آليات الأمن الموجودة فى 
ترك انك قد تلخمط أو له تلففظ الافتداءه .وقد تكون فادرا وقد لا تكون 
قادراً على التصدي له. 


إن التكلفة المنخفضة لتنصيب الشبكات المحلية اللاسلكية (1,41715آ/17) قد 
جعلت هذه الشبكات بديلاً جذاباً للشركات. نظراً إلى أن العديد من الشركات 
تستخدم مساحاتٍ مكتبيةً مستأجرةً» وباعتبار أنها معتادة على التنقل إلى 
مساحات جديدة كل سنتين» فإن البنى التحتية لشبكات (181.4137) تُعد مريحة 
وفعالة جداً من حيث كلفتها المنخفضة:» كما إنها بديلٌ مرنٌ عن البنية التحتية 
للشبكة المحلية السلكية الدائمة (571.آ) غالية التنصيب. إلا أن الشبكات 
اللاسلكية تحتوي ثغرات أمنيةً خطيرةً إلى أبعد الحدود؛ إذ 0 تعد الشركة قادرة 
على حماية شبكتها ببساطة من الاستخدام المحظور عن طريق استخدام تقنيات 
أمن المعلومات المادية أو الملموسة مثل حراس الأمن والأآبواب المقفلة. 
يترجي هعلق الشركة الآن أن حص "الموعانة: اللبلكية الى جلك مضه البلية 
التحعية اللصنيكة البتلكية. /إن.هذا مشابة الوضيغ ماحل لكتيكيك السلكية 
(266معط)8) فى موقف السيارات لشركتك!!!) (2003 ,عل ك5 0مة 8610) . يجب 
حماية البنية الحية للشبكله اللاسكية قضة6 بنفس العزم: الذي عقد: على 
حماية أي شبكة أخرى. 

يتضمن أمن المعلوماتٍ على شبكات الحاسوب العديد من الشراك 
والقضايا. إذ قد تعاني المنظماثٌ ردود الأفعال العفوية بعد استغلالهم باعتداء 
ماء فقد تقع الشركاتُ في فخ الإنفاق المفرط على أمن الحاسوب. فقد تستثمر 
الشركات التى لا تمتلك خبرةً كافيةة بشكل كبير فى إجراءات الأمن مما يجعلها 
تتصدى اا للتهديد الحالى» لتجد بعد ستة أشهر أن إجراءات الأمن هذه 
غير قادرة على التصدي 5-6 جديدة. وينتجٌ من ذلك استنزافها ميزانيات 
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يؤاوةها يتك كدير ما يول الاستتماز سحاد "فى تعبات أمح سودت 
لفو #اناعان اود عكايرها شعوز سانيا شاه شرا وارت حاترن 
بداخله المال. وحتى لو لم تكن الموارد المالية عثرة» إلا أن جميع أموال العالم 
قد لا تحقق النتائج المرغوبة بدون خطة إستراتيجية طويلة الأمد لأمن 
المعلومات. 


لا يزال هناك راد تررك وال مانا ألا وهو الحسٌ 
الخاطئ بأن أمنها مُطمئن. يُعرفٌ هذا الفح ب «متلازمة الحادي عشر من أيلول/ 
سبتمبر) (عتده مزه 11 #ءوطصعؤمء5). تفترض الشركات في هذا الفخ أنه 
ونظراً إلى أنها لم تعانٍ أبداً من الاعتداء في الماضي». فهي محميةً من 
الاعتداءات في المستقبل. قد تعتقدٌ كذلك بأن أنظمة حواسيبها لا تحتوي على 
بيانات زبونٍ حساسة أو بياناتٍ متعلقة بطريقة التشغيل» ولكن في الحقيقة إن 
لديها العديد من سجلات البيانات الموجودة في عملياتها التجارية اليومية 
والتشغيلية ولكنها لا تدركها. بشكل عام إن الأمليانت والآباء البسطاء معرضون 
مثلهم في ذلك مثل: الشركات ال 500 الأكثر ثراءً في العالم والموجودين في 
لائحة مجلة مس101 . 


لاس أ ندفسقا ند عق :العلناء انقه كدير ا عن للق لني كتف دون 
أن ادل “مد ونعنل القوادنة "الشكة أنطمة اكاك الكاسرييه عاففده اناك 
الزبون الحساسة بشكل مستمر. وقد تكون انعكاساتُ هذه الهجمة هائلة ويتعذر 
إصلاحهاء ومن المحتمل أن تنهار الشركة في يوم واحد حسب طبيعة ومدى 
الاعتداء. 


تلطرو كك كارك الدينقين فيو السو سد و حيو بسكل معني إن سانا 
النقنيات: البازعة 'آمذ ملي بالسدق ) ولكن ميجاراة التيديةات: الى تكون غير 
معروقة هو (أيضا آنه أعدوصعرية. نائن التراضظة يأشكال عديلة ابعداء عن سين 
2 سنة المؤذي» المعروف بالطفل العيقي (140)» إلى القرصان أو الإرهابى 
االفيعواف لتقت والمعدد: الذئ تيبد رانو قوا با عيفة: إن تح اللام قير 
محدودء ولكن لا بد من التمييز بين نوعين من التهديدات. فهي إما أن تكون 
تهديدات خارجية أو داخلية. ١‏ 

إن الانطباع السائد هو أن التهديدات الخارجية هي الأكثر اختراقاً. إلا أن 
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هذا الادعاء خاطىءٌ جداًء فالتهديدات الأكثر شيوعاً تأتى من مصادر داخلية. 
تمعن كر المي وانل يعطلييكت 6 بجنا فى لك بار /السدولف التسفامين؟ 
ومدراء الشبكة» وموظفو خدمة الزبون» والطاقم الإداري» وأطقم المحافظة 
على الحدائق» وعمال التنظيف» تهديداتٍ داخلية. يتمتع العديد من هؤلاء 
الموظفين بوصول مباح إلى مصادر معلومات الزبون. وبينما قد تزيل آليات 
التحكم بالدخول العديد من التهديدات الداخلية إلا أن بعضاً من الموظفين 
سيبقى يتمتع بالوصول الكامل إلى البيانات المخزنة على أنظمة حاسوب 
الشركة. رغم أن هذا غير مرغوبء. لكنه في الوقت ذاته لا يمكن تجنبه. على 
سبيل المثال: يتمتع مدراء الشبكة في العديد من الشركات بالنفاذ الكامل إلى 
جميع البيانات. إنهم يحتاجون عادة إلى هذا النفاذ لضرورات العمل للتأكد من 
أن العمليات اليومية للشركة ممكنة. ولكن إلى أيّ مدى يكون مدير شبكة 


إن فكرةً التهديد الداخلي هي فكرةٌ مقيتةً ومستهجنة من كل الأوجه. يؤثر 
إدراح هذا التهديد في كل من الثقافة» والجو ونظام القيم للمنظمة وحتى 
العظم. لن ينظر الموظفون باستحسانٍ إلى المراقبة الدائمة لنشاطاتهم اليومية. 
وسيشعر الموظفون وكأنهم لا يدينون للشركة بأيّ مشاعر الولاء إذا كانت 
الشركة نفسهًا لا تثق بهم كفاية لينجزوا عملهم بسرية وثقة. مع ذلك فإن 
الشركة واقعة بين نارين» لأن الفشلّ في مراقبة نشاطات موظفيها هو مسؤولية 
قائونية “كبيزة, 1 

تثير المصادر الخارجية تهديداً أصغرء ولكنه ليس أقل كراهة. إذ تواجه 
التهديدات الخارجية تحديات كبيرة فى إحراز النفاذ إلى أنظمة الحاسوب لأنها 
لا تمتلك ميّزة الأطاذم علي جما حرق عم ذاخل الشركة. تتطلبُ أي آلية أمنية 
مطبقة على نظام الحاسوب وقتاً لِتُهزم. لذلك يتجنبُ القراصنةٌ أحياناً الأنظمة 
التي تتطلبٌ تكريس جزء كبير من وقتهم لتحقيق الاختراق» وبالطبع يكون تدمير 
الأنظمة ذات الحماية الواهنة أسهل بكثير. في الواقع إذاّء المسار الأقل مقاومة 
للاختراق هو الأكثر ربحاً للقرصان الخبيث. 


مثلما توجد فروقٌ بين التهديدات الداخلية والخارجية» توجد كذلك 
مفارقاتٌ بين أهداف التهديدات المختلفة. فقد ينوي بعضٌ القراصنة أن يعطلوا 
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فقط قدرة الشركة على إدارة العمل» وكمثال على هذا الاعتداء «هجمة الحرمان 
من الخدمة الموزعة» (1205) التى تعيق قدرة الحاسوب على معالجة التعليمات» 
وبالتالى تخفف من قدرته على تأذية العمليات الحساسة» وربما تجبرٌ الشبكة 
عتى الوقك: تيمس البعض الأحر عن القراضية باط إلى 'السطر حل 
الشبكة لتصمّح المصادر من أجل كسب الاعترافٍ بتفوقهم من قبل القراصنة 
الآخرين. إلا أن بعضّ القراصنة يهاجمون بخبث أنظمة الحاسوب ليصلوا إلى 
البيانات الحساسة للزبون أو للشركة» مثل السجلات المالية ومعلومات بطاقة 
الائتمان» أو يسعون إلى إحداث ضرر خطير. من الواضح أن المعتدي الخبيث 
هو صاحب التهديد الأكثر خطورة بالنسبة إلى الشركة. 


الخطُّ الرفيعُ الفاصل بين الذكاء والحمق (في أمن المعلومات) 


يحتوي الفيلم بعنوان «١‏ خزعة النخاع الشوكي») (ة1' لقصامة 15 5نط1) على 
واحدةٍ من أفضل الجكم على مر العصورٍ وهي : ايوجد خيط رفيعٌ بين الذكيّ 
والأحمق)» (1984 ,تعماعه) . تعد نذا السطر صحيحاً في عالم التجارة أيضاًء 
خاصة في سياق أمن المعلومات وتأمينها. إن تحقيق التوازن بين الذكاء والحمق 
هو مسألةٌ فن أكثر من اعتبار ذلك علماً. من "القفروري انتيده كل اكه يدق 
ما هو الشيء حمق وما هو الشيء الذكي. 

ما هو الأمر الأحمق؟ إن إحدى الطرق لبداية عملية تحديد الأمر الأحمق 
هي العمل عكسياً. مثل ممارسة الهندسة العكسية بجميع أنواعها. حتى يكون 
نظام الحاسوب آمناً مئة بالمئة يجب أن لا يكون موصولاً. مئة بالمئة» لأي 
شبكة» وبالتالي فهو عديم الفائدة. يستنتج من ذلك أن هذا الحل لا يمتلك 
صفات الأمن المطلوبة. فإذا ما وَجَدَ الزبائن» والشركاء فى سلسلة التزويد». أن 
دوا الجسعتجيل الاتصالب الشركة :جاتيم سيكنون طن بسار لالى «وفينيعن إن 
التعامل مع شركات أخرى. 

لتحديد ما هو الأمر الذكي» يجب أن تعمل الشركة على تحديد مستوى 
الأمن الذي يزود الشركة بأفضل حاتت انع مسوم مقبول من المخاطر. 
تتضمنُ عملية إجراء تقييم مفضّلٍ لأثر المخاطر» النظر فى المواصفات التقنية 
لبنية الشبكة التحتية نتوحية قلت المملوماك دمع تطلبالة عمليات الشركة 
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الخالية. تتسسل هذه المعلومات عق متطلنات_وظائتك الشركة الاشكنائية 
والمتطلبات التشغيلية» والكفاءات الجوهرية» ومهام الشركة» وإدراك مطالب 
الزبون. ثم يُقرنُ تحديدُ ثغرات البنية التحتية ويطابقٌ بينه وتحديد التهديدات 
المقبينة 4 وَتَدوَسٌ عق ذلقة هم المعطيات التشفينية: 


تجمعٌ هذه البيانات وتحللٌ من خلال عملية تقييم أثر المخاطر. من 
الضروري أن يُمَنَّل أغلب» إن لم يكن جميع» خبراء الوحدات الوطنية في 
الشركة أثناء عمليات تقييم أثر المخاطر لكي تحذد وتصانَ المتطلباث التشغيلية 
والحاسمةٌ والاستثنائيةً اللازمة لضمان استمرار عمليات الشركة. تُقدَّرُ بعد ذلك 
الفغرات والتهديذات المخددة لتعيين أي متها 'يُمَثلُ الأولؤية الأعلى. تربط هذه 
الأولوية عادةً بالمهام الحساسة لهذه الوحدات. 


كنب أن عطن الكشغراث والكيدرداتكةه الس اذاه اعدف كن تحور 
عمليات الشركة على الوقوف,. الأولوية الأعلى». آم الثغراثث والتهديداثُ التى 
تسبب تأثيراً أقل وأبسط. أو التي تكون غير محتملة الاستغلال» فتعطى و 
أدنى. بعد تحديدٍ الأولوية العنابة للثغرات والتهديدات؛ تُصمّمُ استراتيجيات 
تقليل أو إزالة هذه الثغرات والتهديدات» مع الأخذ بعين الاعتبار التأثيراتٌ 
المالية المتعلقة بطرق العمل لتطبيق هذه الآليات. الأمنية: 


الموافقة الرسمية (على مستوى أمن الشركات) 

من الواضح أن حماية المعلومات وتأمينهاء في اقتصادٍ اليوم المُعولّم 
والالكتروني والمشبّك أو المترابط» تثيرٌُ قضية هامة لجميع المنظمات. لقد تم 
عقد العديد من المناقشات والمنتديات في كل من القطاع العام والقطاع 
الخاصء لا سيّما حول التحذدّيات التي تواجهها المنظمات اليوم فيما يتعلق 
بالموضوع. إذا ما أخذنا بعين الاعتبار أن الشركات تواجه ثغرات خطيرة غالبا 
بسبب اتصالها بعضها بالبعض» فإن إجراءً التعاملات الالكترونية مع الشركة التي 
لا توظف آليات أمنية قوية هو مسؤولية قانونية كبيرة. 

إن واحداً من الاقتراحات التي برزت هو اقتراح وضع سلّم أو مؤشّر 
لمستؤق أمخ المغلومات للشركات: يكمن تصينيه هذا السلم بشكل :مشابه لذلك 


المطبق لدى مؤسسة 1165ه1,260186آ 172061011615 الأمريكية التى تصنف 
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الشركاك اكع اعرد« تتففانينا» .ومن جعاريهاة اا امتدان لاليقة شيم أذ الشركة 
تمتلكُ سياساتٍ حكومة وإجراءاتٍ تقنية للبئية التحتية تجعل تلك الشركة أكثر 
أمناً) (2003 بطعوء8) . ل شيلم مستوى الأمنٍ هذا كَمُطمئن للشركات الأخرى 
بأن هناك بعضاً من الركون إلى أن شركاءهم في سلسة التزويدٍ آمنون» كما أنه 
قد يُطْمِئِْنُ الزبائنَ أيضاً بأن معلوماتهم محمية. 

ستكون مهمَّةٌُ هذه الجهة الضامنة تقييمَ البنى التحتية للشركات تبعاً لتطور 
معايير التأمين والأمن. وقد تعمل هذه الجهة كذلك كدار مقاصّة لأفضل 
الممارسات فى أمن المعلومات وتأمينها مساعدةً بذلك الشركات كن تطبيق 
لك تاك اتوسمو عدرينات رو 1 

إن الحصول على الوثيقة سيكون عملا اختيارياً تقوم به الشركةٌ التي تطلب 
ترتيبها في تحقيق أمن المعلومات. 

لن يكون للجهة الضامنة أي دورٍ تنفيذي» ولكنها قد تعمل كجهةٍ تستطيع 
أن تمنح تقديراً لحالة الأمن مرتكزةً على التقنيات الموجودة لدى الشركة. يجب 
تعينين مدة 'للرقابة الدورية علن أمة المعلومات لضان أن الوتيقة لا مزال 
منالحة: إن إغادة 'العركيق يشبكل «#ورى كل سشيق عن الهدة الأرليةهر أمة 

التبعات القانونية 

إن المحافظة على المعلومات الخاصة بالزبون تحمل معها مسؤولية قانونية 
هامة» فسجلات الزبون مسؤولية قانونية ضخمة بحد ذاتها. وبالإضافة إلى ذلك 
هي أيضاً أصولٌ لا يستهان بها. إن أحدّ أسباب جمع معلومات الزبون هو أنها 
مووود لإجراء التعاملات الإلكترونية معه في المقام الأول. وقد تساعدٌ الشركة 
في الحصول على تعاملٍ آخر من قبله في المستقبل. 

يتوقُعٌ الزبائنُ تأمينَ مقدارٍ من الخصوصية والسّرية عند التعامل مع كلا 
القطاعين العام والخاص. ويجب أن يُطمأنوا بأن معلوماتهم الحساسة لن ترسل إلى 
أطرافٍ أخرى. إن بعضاً من هذا التأمين قد ورد في «قانون الخصوصية لعام 
4م في الولايات المتحدة مثلاً. لقد توسع القانون أكثر في الإشارة إلى حماية 
المعلومات الخاصة بالزبون» وسيجري تناولها بالتفصيل فيما بعد في هذا الكتاب. 
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تتضمن بعض القوانين الأمريكية التي تتعلق بوجه الخصوص بحماية 
البيانات: الخاصة بالزيون 0 قانون نتائج وأداء الحكومة لعام 1993م» وقانون 
تقليل الوثائق لعام 1995م» قانون (5عطههمهعمهذ0©) لعام 1996م» قانون الألفية 
لحقوق النشر الرقمية لعام 1998م» وقانون تحسين أمن المعلومات الحكومية 
لعام 2000م» وقانون التوقيع الرقمي لعام 2000م»2 والقانون المنادي بالوطنية عام 
1مم وقانون الحكومة الالكترونية لعام 2م وقانون (نإءل<:0-وعصةطة5) 
لعام 2002م. 


قد تؤدي إخفاقات الأمن ‏ وهي كذلك على نحو متزايد - إلى رفع دعوى 
قضائية من قبل الزبون. قد تؤدي حمايةٌ البيانات الخاصّة بالزبون بشكل غير 
كافٍ» مسببةً بذلك إخفاقات أمنية» إلى مسؤوليات قانونية من خلال المحاكم. 
ومن الضروري لتَجِنُبِ مثل هذه النتائج أن تباشر الشركات إلى وضع خطة عمل 
تنفيذية لتطبيق إستراتيجية تأمين المعلومات. 


تصميم استراتيجية تأمين المعلومات 
الآن وبعدل أن أصبحتٌ على دراية بالثغرات والتهنديدات وبنتائج اتخاذ 
الإجراءات أو عدمه.» أنت بحاجة إلى تصميم إستراتيجية تُدركُ متطلبات" الشركة 
التشغيلية» وتُقرنُ هذه المتطلبات بالحاجة إلى حماية أصول الشركة وزبائنهاء 
ولتخفيف التعرّض إلى الكيانات التي ترغب بتسبب الضرر. 


كوي استراتيجية تأمين المعلومات على العديد من خطط العمل التنفيذية 
المستقلة والمتداخلة: خطة الشركة الإستراتيجية» وخطة العمليات الطارئة» 
وخطة العودة لو الوضع السوي بعد الكارثة, وخطة أمن البنية التحتية. 


أولاً: إن خطّة الشركة الإستراتيجية هي خطةٌ متكاملة. ترسم هذه الخطةٌ 
«خارطة طريق» ترشدٌ الشركة في المستقبل. يجب أن تحتوي هذه الخطة على 
المعلومات التى تحدد المتطلبات والمبادرات المستقبلية» والكفاءات الجوهرية» 
والووفة العو ل كي مسسسي 'الفزكة لمطالنب زنانتي ا والعوسوات:ة المالية: 


() ,1995 01 أعث دمناعنلع5 عاده تعمج ,1993 ]و أعى ذالناوع18 لختة ععمقصم ]مع الاعصص 001 ع1 
1 5.000776111116111.[] ,1998 01 أعث لطع 11[م00) تنا تصطع!1111 1121ع1201 ,1996 01 أعخ معط هن - عع 1110نت 
2 ]0 اعث نإء1 :5213265-07 عط 250 ,2002 01 أعى الاعستطنء 8-01 ,2001 01 أعمف رماع ] [ا1تتاعع5 
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والأدوار التي تلعبها البنى الإدارية» وتوقعات المساهمين» والطريقة التي ستتبعها 
الشركة لتكامل هذه التوقعات مع أهداف أداء الشركة. ْ 

ثانياً: تَرسُمٌ خطةٌ العملياتٍ الطارئة (007©) بالتفصيل كيف ستتصرّف 
الشركة عند حدوث أي تغييرٍ في وضعيةٍ الشركة التشغيلية. إنها تركز على 
تفاصيلٍ كيفية عمل الشركة عند وقوع كارثةٍ من صنع | الإنسان أو الطبيعة أو 
وقوع حدث إرهابي. تتحلد الخفلة مواقع عمل بديلة وبنية تحتية زقيقة + وعطاط 
العمل للتشغيلٍ عن بعدء والمخزون المطلوب من البرمجيات والتجهيزات 
الخاصة بالحاسوب» واستراتيجياتٍ الحصول على التجهيزات» وقوائمَ الاتصالٍ 
مع موظفي الطوارئ» ومتطلباتٍ الوصول إلى البيانات. 


الثاً: تحدَّدُ خطةٌ العودة إلى الوضع السويٌّ من بعد الكارثة» المصادرٌَ 
التقنية الهامةة وطرقٌ استعادة المعلومات المخزنة على مثل هذه التجهيزات. إِنَّها 
ترسمُ إستراتيجية تبيّنُ المصادرَ والمراحلّ المهمة التي يجب أن تُتَقَدَ من أجل 
العودة إلى الوضع الطبيعي بعد الكارثة. تثُرَنَبُ المصادرٌُ التقنية الهامة حسبّ 
الأهمية وتعيّنُ أوقاث الاستعادة المستهدفة. تُمَثّل هذه المصادرٌ الحاسمة 
المصادرٌَ بحدَّها الأدنى الضرورية لاستمرار عملياتٍ الشركة. 


يجب أن تُوْحْدَ الحيطةٌ عند تصميم خطة العودة إلى الوضع السويٌّ بعد 
الكارثة» إذ تميلٌ المنظماتٌ إلى ترتيب جميع المصادر على أنها مهمَّةٌء بينما 
تكون في الحقيقة غير هامة في المنظور الإجمالي. من الضروري تحديد فقط 
تلك المصادر التي يجب استعادتها من أجل استمرار العمليات. 

يجب أن تُحَدَّدَ أيضاً فى هذه الخطة الاتكالات المتبادلة للأنظمة الآلية» 
وتتقرت بالأرتر التديية الدامية. 

رابعاً؟ تخذة خطة أمن "النتية العفية الفغرات .والعينديدات المعروفة فى 
العلة مجح« الماوطودة السك رمه اقلق قانن سان الفا الجا قد يفي 
أن تكون وثيقة فعالةً. وعند إضافة برمجيات وتجهيزات جديدة داخل الشبكة» 
فإن الخطة يجب أن تعدل لتطوق أية تهديدات أو «ثغرات» جديدة. إنها تشرح 
بالتفصيل الاستراتيجيات التى تحد من التهديدات» وآليات الأمن داخل الشركة. 
هنا أنه تين كذللك مكرونا بشيية 100 رالطة من ويم قط اليل الشديةة 
بالإضافة إلى جميع روابط الاتصالات. 


6 


تتضمنُ خطةٌ تأمين المعلومات» على الأقل» جميعٌ المصادر المذكورة 
سابقاً. وتنا لوجود متطلبات استثنائية م معينةء فإنه يجب أن تدمج 
خططّ إضافيةٌ إلى خْطّةٍ تأمين المعلومات. تَرسْمْ خطةٌ تأمين المعلومات عموماً 
اسدتراتيجية شاملة لحماية الشركة في كل الظروفٍ وتأمين استمرار عملياتها. 

من الضروري تيد بوتامجع زمني لكل مهمةء مثل الساعة المستهدفة 
لاستعادة العمليات الجزئية» والشلة القفية اللازمة لاسترجاع جميع المقدرات 
التشغيلية. 


حت أن شر مخطة تأمنة المعلومات 8 اوري امام الشركة » 
ا عق للح رلذء تُجرى جراعم نرربا لهاافي فرت 


000 

مضه أن اتقضهة ' إمتر اتعكرة تأمي جسلوهاف: اجراء ننية قلع الأمن. 
وينبغي أن يَفسَصّ هذا التفتيشٌ الخطط الموثّقَةَ المذكورةً سابقاًء وأن تُوْكَدَ دقتُها 
وستريات سفخولها فى البنية السحئرة 'الموجودة :قن يضمن التفية أيضا «اخبياد 
الاختراق» على أن تقوم به جهةٌ فاحصةٌ نزيهة. 

تيلف قوفن اتقكتان الاتراق نهدا عدب حاخات الشركة ييحن أن 
تحمل نتائجٌ اختبار الاختراق مَحمّلَ الجدّء كما يجب أن تنقّدَ بدون اطلاع 
جميع الموظفين عليها باستثناء المدراء التنفيذيين بمن فيهم مسؤول أمن 
المعلومات. إن الإعلانَ المسبق لاختبار الاختراق سيؤدي إلى نتائج غير دقيقة. 

يجنب تفخضٌ الفعلومات: المستتتجة من التفتيشن الأمتنى ومن اختبار 
الاختراق» كما تجب المباشرةً بوضع استراتيجيات الحل لتخفيف ثغرات الأمن 
فى حال كونها ممثلة للاخفاقاث الحرجة. 


إجراءات الأمن الوقائية 


يبدأ تطبيقٌ إجراءات الأمن الوقائية بالموظفين. وكما نوقش سابقاً» يأتي 
التهديدٌ الأعظم على أمن المعلومات من المصادر الداخلية. فتطبيق الإجراءات 
الوقائية على البرمجيات والتجهيزات فقط سيملك تأثيراً قليل الفعالية فى حماية 
البنية التحتية إذا ما وجدت تهديدات داخلية. ْ 


7 


هي نموذج التعليم المرحلي. يتألف هذا النموذجٌ من عدَّةٍ خطواتٍ للتعليم 
والتدريب. تُصَمّمْ الخطوةٌ الأولى عادةً كي تُبِيّنَ المبادىء العامة والأهدافٌ 
والإستراتيجية وراء أمن المعلومات. ويجب أن تتضمن هذه الخطوة التقنيات 
الرئيسية التي ينبغي أن يلتزم بها جميع المستخدمين» كما يجب أن تشرح ما 
يترتب على عدم الالتزام بها. ويُنصّح بأن ينتهي هذا التدريب بتوقيع الموظفين 
على «اتفاقيات المستخدم)» التي تحدد الاستخدام المسموح وغير المسموح 
تُوضعٌ الخطوةٌ الثانية عادةً وفقاً للمنظور الوظيفي. يجب أن يحتوي هذا 
التدريب على إجراءات الأمن الإدارية والوظيفية التى ينبغى أن يتخذها 
الموظفون للتقليل من تهديدات الأمن. 
تُصمّمْ دوراتٌ تدريبيةٌ أخرى للمسؤولين عن أمن المعلومات في داخل كل 
قسمء ولموظفي عمليات الشبكة. يجب أن يتم تدريب موظفي عمليات الشبكة 
باستموار-غلى استراتيسيات امن المعلومات المتطورة هيد الحرات والعهدردات 
الحالية. 


تعيين مسؤول الأمن 

من المهمٌ تعيينُ مسؤولٍ رئيسيٌ عن أمن المعلومات (150©) يكون مسؤولاً 
عن تصميم إستراتيجية تأمين معلومات الشركة ومراقبتها. من المستحسن أن لا 
يكون هذا الموظف هو نفسه مسؤول إدارة المعلومات أو مسؤول المعلومات 
الرئيسيء لتجنب تضارب المصالح. ينبغي أن يرتبط المسؤول الرئيسي عن أمن 
المعلومات بالمدير التنفيذي أو المدير العام للمنظمة. 


حماية موقع أنظمة الأمن 

يتألف موقعٌ أنظمة الأمن من عناصر البنية التحتية داخل الشركةء 
المحمية بواسطة آليات الأمن. تحمي هذه الآلياتُ الموقعٌّ من الاقتحامات 
الالكثرونيةء وأيضاً .من الافتحافات: المادية من قبل الأشخاضن أو الكيانات 
المحظورة. 


4 


قد يحمي كل من حرّاس الأمن» وآليات التحكم بالأبواب مثل الأقفال» 
مق الافسحامات المادية + ومن الممكى كذلكف الحمانة عن هذه الامتشامات 
بوضع مراكز الحاسوب التي تخزن سجلات البيانات في مناطق لا يمكن 
الوصول إليها بسهولة من خلال النوافذ والأبواب. 


إن استخدام مجموعة من تقنيات البرمجيات والتجهيزات قد يحمي من 
الاقتحامات الالكترونية. ولكن يجب أن تُرسّمَ لآليات أمن المعلومات هذه 
خطةٌ مفصلةٌ لتعمل بشكل فعال. ونظراً إلى أنَّ تطبيق جميع أجزاء آليات الأمن 
هو أمرٌ مكلفٌ ومعقدٌء فمن المستحسن تطبيق الإجراءات في تسلسل مرحلي. 
إن الإجراءاتٍ التي تجابه أوسع نطاقٍ من الثغرات تكون عادةً أكثر الوسائل 
فعَالِيةَ لأمن البنية التحتية. ومن الأمثلة على هذا النوع من الإجراءات البرامج 
المضادة للفيروسات وجدران الذان شك هذه الإجراءات إجمالاً الخطواتٍ 
الأساسية في بناء الموقع» فحالما يتم تطبيقها بشكلٍ فعالٍ» تُتََخْذُ خطواتٌ 
أخرى لتعزيز الموقع» مثل تنصيب آليات التحكم بالدخول» وأنظمة كشف 
الاقتحام... الخ. إن التفسيراتٍ الموجزة المبينة أدناه تشرحٌ الأجزاءَ الرئيسية 
لموقع أمن المعلومات. 


برمجيات الحماية المضادة للفيروسات 


تمثل برمجياتٌ الحماية المضادة للفيروس الحدّ الأدنى في أي موقع لأمن 
المعلومات. تُنصَبٌ البرمجيات المضادة للفيروس عادةً في كلّ حاسوب يستعمل 
خدفة التترنت: . يجب أن تبقى ملفاتث الإرشادات حول البرمجيات المضادة 


للفيروس مُحَدَّتَةَ بشكل منتظم لتعمل بشكلٍ فعال. 


نخدمات إدارة البريحيات 


و 


تُحققٌ مخدماتٌ إدارة البرمجيات (5815) هدفٌ تحديث برمجيات نظام 
العسيل لد العؤامطت "التو تسسا لأف قنع والموضولة عن سدقة الشركة 
يجب أن تبقى برمجيات نعم التشغيل محدّثةً ومحيّنةَ لتَسُّدَ النغرات التي 
تكتشف باستمراز من قبل اليصععيق. عسدها تاني: رفغ «التحديث من قبل 
المصئّع. تقوم برامج (5915) بدفع هذه التحديثات إلى كلّ حاسوب متأكدة 
بذلك أنَّ النسخة الأخيرة من نظام التشغيل قد تم استخدامها. 
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جدران النار 


إن جدرانٌ النار (116/2115) هي آلياث أمن معلومات تمنح أو تمنع 
الوصول إلى مواردٍ المعلوماتٍ الداخلية من قبل جهة موجودةٍ خارج الموقع 
المأمون» أي من الإنترنت مثلاً. تشابه جدرانٌ النارٍ سلّمّ دخولٍ السفينة. يُمَحُ 
الدخول إلى المستخدمين الذين يملكون التصريحّ اللازمَ للوصول إلى المصادر 
الموجودة داخل الموقع» أما المستخدمون الذين لا يملكون التصريحٌ فيحرمونَ 
من الوصول إلى المصادر الموجودة داخل الموقع. تأتي جدرانُ النار على 
شكلين» وغادة ما يُستعملانٍ معاً. إن الشكلّ الأول من جدار الثار هو جهاز 
الكتروني» أما الشكل الآخر فهو برنامج. قد تأتي جدرانٌ النار أيضاً على شكل 
جهاز لحاسوب معيّن. إِنْ هذا النوع من جدران النار مثاليٌ للمستخدمين الذين 
يعملون عن بعد خارج موقع أمن الشركة. 


آليات التحكم بالتّفاذء أو الدُخول إلى المعلومات 

تَخْدُمٌ آلياثُ التحكم بالدخولٍ هدفّ الطلب من المستخدمين تقديمَ 
المعلومات التجوقية قبل أن تسمع اله بالوضول إلى مصادر المعلومات داخل 
بوت الحماية. تتألف آليةٌ التحكم بالدخول عادةً من حاسوب مخدم زاخر 
بتطبيقات التحكم بالدخول. تكون تقنية آلية | التحكم بالدخول الخ طاهر 
للمستخدمين. ضع السيسحدنون عادة حقوقٌ نفاذ تبعا للمجموعة اليه التي 
قبع لها كل متهم قد يَتَطَلَْبُ التحكمٌُ بالدخولٍ أيضاً التوثيق أثناء كل جلسةء 
زكرن ذلك عادة على شكل الي أشي المسيةخدم توكلم الشري تمع تتانيات 
اسم المستخدم وكلمة السّر الصحيحة الدخول إلى المصادر المطلوبة. تعد آليات 
التحكم بالدخول فعّالة في منع سرقة البيانات من قبل التهديدات الداخلية 
والخارجية. 


أنظمة كشف الاختراق 

إنّاأنظمة كفب الاحتراق (18) فعَالة إلى أبعد بعد عدتها تنضتث بشكل 
صحيح وثراقبُ بانتظام. ولكن يجب الحفاظ على طريقة عمل هذه الأنظمة 
بسزية بالغ ؤمة الؤات. تابنا بنقة قيديدة نشل أغلث انظمة الكمت 
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تأتى. مق خارضنه: يودي تحليل المعلومات فق سجلاث الأخدات إلى تخديد 
البكه فاك و/أو النشاطات والإجراءات غير ال وعادةً ما يُفْرَض تَمَخُصٌ 
إضافيٌ على التعاملاتٍ الجارية على الشبكة من خارج موقع الحماية. إن أنظمة 
كشف الاختراق فعّالة في منع سرقة البيانات من قبل التهديدات الداخلية 


والخارجية. 


آليات التعمية (التشفير) 

تَصلّحُ التعميةُ في حماية البيانات أثناء عملية الإرسال. يجب أن تُنصّب 
تطبيقات التعمية على كل مِنَ الحاسوب المرسل والمستقبل. يقوم الحاسوبُ 
المرسلٌ أثناء عملية إرسال البيانات بتعمية البيانات قبل الإرسال. فور استلام 
البيانات المعماة يقوم الحاسوبٌ المستقبل بفك التعمية عن البيانات. إن 
خوارزمياتٍ التعمية المباعة من قبل العديد من الشركات هى أساس آليات 
التعمية. وكلما كانت الخوارزمية معقدة. كانت عملية ال البيانات أكثر 
أمنء إلا أن أداة الحاسوب وسرعة عمله يتراجعان مع الازدياد في التعقيد 
الخوارزمي. إن تقنيات التعمية فعّالةٌ ضد اكتشاف الرسائل خارج موقع 
الحماية. 
وسائل قطع اتصال الشبكة 

إن وسائلَ قطع اتصال الشبكة هي آلياتٌ تقوم حالاً عند الضرورة بقطع 
الاتصالات السلكية واللاسلكية بين موقع الحماية والمحيط الخارجي» فعند 
حدوث اختراق ماء أو هجمة الحرمان من الخدمة» تُقطعٌ قنوات الاتصالات 
السلكية واللاسلكية فوراً بدون التسبب بضرر خطير لأنظمة الشبكة داخل 
الموقع. تقوم وسائلٌ قطع اتصال الشبكة بالعمل نفسه الذي تقوم به الإزالة 
المادية لمقبس الاتصالات السلكية واللاسلكية أو مزود الكهرباء الذي يفصل 
الكهرباء عن جهاز الحاسوب بدون التسبب بضرر خطير أو فقدان للبيانات. 
تتألف وسائل قطع اتصال الشبكة عادةً من البرمجيات والتجهيزات في وحدة 
مفردة. يُفْعَلُ عادةً ضبط أمر قطع الاتصال يدوياً أو بوساطة إشارات الخطر من 
قبل أنظمة كشف الاختراق. عندما يُقطعٌ اتصال موقع الحماية» لا تستطيع 
المنظمة الاتصال خارج الموقع» ولكنها تستطيع تمكين المختصين بالأمن من 
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تشخيص» وربما إصلاح ء الثغرات لتحمي من التهديد قبل إعادة وصل قنوات 
الاتصالاات السلكية واللاسلكية. 


استنتاجات 

إن حماية المعلومات الخاصّة بالزبون هو عمل معقدٌ وملية بالتحدي. على 
أية حال يجب أن تقوم المنظمات بتأمين السّرية لزبائنها إذا ما أرادت أن تحيا 
فى السواق الالكدروئية العالسة» لسن :على المتظنات نطلا كالونيا التحنيق امن 
المعلومات فخسب». وإنما تحمل كذلك :مشسؤولية حرفية تجاه شركائها فى العمل 
على طول سلسلة التزويد. 

إذ ام المعلوبانت: لعية تكاس 4 إذا اسكعنا الكجررءانت اللقليددة ققط 
ولكن التطبيق الفعّال لهذا الأمن سيسفر عن نجاح وجزاء طويل الأمد. 

على الرغم من أن أمنَ المعلومات لعبةٌ ديناميكيةٌ متطورةٌ باستمرار» إلا أن 
المنظمات تستطيع اتخاذ قرارات صحيحة إذا ما طبَّقّت استراتيجيات شاملة 
ومفصلة لتأمين المعلومات» كي تحتفظ بمكانتها في السوق مع الحماية أيضاً 
من التهديدات. 
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الفصل الرابع 


استراتيجيات شاملة لإدارة المخاطر المحدقة 
بتقنية المعلومات 


كريسان هيرود 


جامعة الدفاع الوطني» الولايات المتحدة الأمريكية 


المقدمة 
يشرحٌ هذا الفصلّ السببَ وراء أهمية أن تُطوّرَ المنظمات وتُنشِىء وظيفة 
إدارة مخاطر تقنية المعلومات» وأن تَستَخدِمَ أفضل الممارسات لتقييم أثر 
المخاطرء وخاصة تلك الممارسات التي تعد المعيار الشائع لقياس وتقييم أثر 
المخاطر داخل المنظمات. إن إدارة مخاطر تقنية المعلومات وظيفةٌ جديدةٌ 
هام "قن سافن الفركاتك على تصفيق جخدنة تقنية معلونات>ذاك 'عسعوق 


عالمي. 


تتضمنٌ إدارةً مخاطر تقنية المعلومات الالتزامً بالأنظمة» وأمنَ المعلومات» 
والعودة إلى الوضع السوي بعد الكارثة» ومخاطرٌ المشروع. يجب أن تكون 
إدارةً مخاطر تقنية المعلومات جزءاً من إستراتيجية الشركة فى إدارة المخاطرء 
كما هو الوضع مع إدارة المخاطر المالية وإدارة مخاطر لبك ونظراً إلى تزايدٍ 
ال الفيععية نقتي الملعلويا بقن ونظرا :إلى « اعم او اشر كاف نا لايناد 
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على الإنترنت كأساس للاتصال فى تعاملاتها التجارية الالكترونية» فإن المخاطر 
المرافقة في ازدياد. لهذه الأسباب فإن احتيارٌ سيرورةٍ لإدارة المخاطر ثم تطبيقها 
واختيار طريقةٍ معيارية لذلك» سوف يقلّل إلى حدٍ كبير من المخاطر المتعلقة 
بإدخالٍ تقنيات جديدة تدعم مهمة الشركة. 

إن التعقيداتٍ المتأصلة فى تطوير خدمات تقنية المعلومات وإدارتها 
ونشرها على المستوى العالمي واضحة. أضف إلى هذه التعقيدات الإطارَ 
التشريعي والتنظيمي الذي يتحكمٌ بممارسات الشركة في العديد من الصناعات» 
وعليه تواجه الشركاتُ وضعاً يتطلّبُ التيقّظ الدائم لضمانٍ عملها بأمانٍ وشرعية. 
لا يمكن إزالة المخاطر من دورة حياة الشركة» وتؤدي الإخفاقات إلى خسارة 
وأضرار وادعاءات قضائية. بنفس الوقت فإن تقنية المعلومات عنصرٌ جوهريٌ فى 
نجاح أيٍّ شركةء إذ إن استغلال تقنيات المعلومات يخلقٌ العديد من الفرص 
لتَطوّرِ الشركة ولِخدمّة الزبائن. 

من المهم أن تَهدفُ وحدة إدارة مخاطر تقنية المعلوماتٍ إلى ضمان أن 
المخاطر المحتملة قد حددت وقيّمَ أثرهاء وإلى تطبيق الضوابط التي تخفف 
الآثر :المحتمل للمخاطر ,أيتها تعد الشركة :ذلك ضرورياً: 

يُحَفَّنُ هذا بوساطة ما يلى: 

© رسم سياسة . 

© إجراء تحسينات للعمليات. 

© تحديد إجراءات أو معايير. 


© تأسيس إجراءات تحكم من خلال ممارسات الإدارة. 

© إتباع الإرشادات. 1 

٠‏ إبرام العقود. 

© الاستعانة بجماعات في المنظمة. 

© الاستعانة بجهات خارجية أو التعهيد الخارجي عند الضرورة. 
© التأمين ضد الحوادث. 
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تعريف إدارة المخاطر 

إن الخطرّ هو حدثٌ أو ظرفٌ غبر معد الحدوثء, والذي إذا ما حدث 
فقد يؤثّْرُ سلباً في النشاطات المنجزة ذ فى الشركة. إدارة المخاطر عمليةٌ منتظمةٌ: 
لتحديد المخاطر» وتقدير احتمال وروي والأثر الذي قل تتركه» واتخاذ 
الإجراء الضروري لضمان الحصول على ثمرة النشاطات المنجزة. 

إذ إدارة المخاطر هن هؤاونة المشاطر فقاين التكرةة ؤذلك لعمان أن 
الثمرات تزداد إلى أقصى حدء وأن المخاطر تتناقص إلى الحدّ الأدنى لتصل 
إلى درجة مقبولة للشركة. 
مفتاح النجاح فى إدارة المخاطر 

إن في إدارة المخاطر هو تحديد المخاطر وإداراتها بحيث تتجاوز الثمرةٌ 
المرجوّةٌ أثْرٌ المخاطر المواجهة. هذه المهمة مستحيلة ما لم تُحَدَد المخاطر» 
فالمخاطر التي لا تُحَدَّد ولا تعالج جيداً قد تسبّب ضرراً عظيماً. 


إدراك القوى المحركة للمخاطر 

كلها أحدتع السكة دمير ا ما افانها عدت 'أنقنا لوق مسد كة كو كفي 
المناطن. يعدب التعبية زيادة أو القاضا وح النتقاطي للتعبيز غاليا كمة وفايدة 
مرافقةٌ» الأمر الذي يجعلٌ الشركة مستعدةٌ لمواجهة المخاطر التي قد تنجمُ عن 
هذا التغير. 

تيدأ 3 ا را بانج لسع العا الداخلية ب والخارجية 
متعددة 5 عنمل وقد و حل تبني اذيك وات الشركة أو 
مجالاتها الوظيفية. 


الاستجابة للمخاطر 
تخسمل الأسسهابة للعاطر» أو التعامل مها واحدة هي القرارات الانية: 


1. تخفيف المخاطر: حيث تُتَخَذْ الخطوات للتقليل من احتمال نضوج 
الخطر (حدوثه). أو لتقليل الأثر أو الخسارة إذا كان لا بد من ظهور ذلك 
الخطر. 
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تدحت المقا # مقف انكر القراد حعب الندر في البتفاط ١‏ أضاة 
وعدا هيع اجمالا أن" الفيؤة/ الفاكدة لم تكسين الشركة 

3. نقل المخاطر: حيث تُنقل الخسارة المتوقعة نتيجة لوقوع الخطر إلى 
طرف آخر. ويكون هذا الطرف عادةً الفريق الثالث (على سبيل المثال التأمين 
ضدّ الادعاء القضائى). 

4. قبول المخاطر: حيث لا تُنََخَذْ الخطوات من أجل تخفيف» أو تجنب 
أو نقل الخطر. تختار الشركة فى هذا القرار عادةً تَقَيْلَ تبعات حدوث الحظر إذا 


كان لا بد منه. 


إطار عمل إدارة المخاطر 

من المهم أن يُبنى قرار الاستجابة للمخاطر على استخدام إطار عملٍ أو 
منهجية معيارية لإدارة المخاطر. كما ينبغي أن لا تتخذ القراراث حول طريقة 
إدارة المخاطر بمعزلٍ عن الآخرين» وبالتأكيد يجب أن لا تتخذ بدون الحذر 
المطلوب. يُقَدَمُ إطارٌ عمل إدارة المخاطر العملية التي إذا ما جرى اتّباعها فإنها 
ستؤدي إلى قاعدة منطقية لاتخاذ القرارات» وعندها تُجِمَعٌ الحقائق والبيانات 
وتُطرَحٌُ بطريقة عقلانية. 

ثمة العديد من الطرق المتّبعة لإدارة المخاطر في كل من القطاع العام 
والخاص. لا توجد ري أفضل من الأخرى» فأطرُ العمل» ومنها المطروح في 
هذا الفصل ؛ يجب أن تُتَفَّحَ لتلائم محيط و/ أو ثقافة الشركة. إجمالاً هناك أشياءً 
رئيسية وجوهرية تقودٌُ إطارٌ عمل إدارة المخاطر هي : 

© يجب النظر إلى المخاطر وإلى تأثيرها بشكلٍ شمولي - أي من منظور 
الشركة بأكملهاء فتقدير تأثير المخاطر من منظورٍ أضيق يثير أخطاراً بحد ذاته 
باعتبار أن حاجات الشركة قد تفوق أهمية التأثير 5 لتقنية المعلومات. 

© إن المخاطرَ لا تكون جسيمة إلا إذا كان لها تأثير محددٌ فى الشركة أو 
خارة قايلة للفباس. ْ 

» يجب أن يقدم إِطارٌ العمل قاعدة تسمحٌ بتخمين جميع أنواع المخاطرء 
ابتداءً من حوادث الأمن الثانوية وانتهاءً بالحوادث الفاجعة. 
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© قد يكون ضرورياً أحياناً أن يجري التعاملٌ مع الأحداث قبل دراسة 
الباعث الذي سبّب ظهورها ‏ إن معاملة المخاطر بصورة شمولية لا تعنى أن 
ندع الشركة تنهار قبل تصحيح المشكلة. 
قابلية التوسع في عمليات إدارة المخاطر 
يقتضي تناولٌ إدارة المخاطر اتباع منهج قابلٍ للتوسع أو التعميم ليتعامل 
مع مصادر وأحجام مختلفة للمخاطر. قد يتضمن هذا عادةً استخدامٌ إطار عمل 
لإدارة المخاطر وفق طرق متعددة ع بادثاً ربما من نقاط انطلاق مختلفة. 


التالية : َ 

© مخاطر الشركة الرئيسية: مثل الاندماج» أو الاستحواذ» أو استحداث 
فرص ومواقع تجارة الكترونية جديدة» أو القوانين والقضايا القانونية. 

© مخاطر تقنية المعلومات الجوهرية: مثل استحداث تقنيات جديدة داعمة 
لعمليات الشركة سواء أكانت داخلية أو خارجية. 

© مخاطر المشروع: 

1. مخاطر على استمرارية الشركة قد يسبّبها المشروع. 

2. مخاطر حول أرباح المشروع (المخاطر على تحقيق فوائد المشروع). 

© الحوادث والمخاطر القائمة بذاتها: وهى متأصلة فى العمل والممارسات 
التي تتضمن استخدام وتطبيق تقنية المعلومات. 

إدارة المخاطر هي مسؤولية كل شخص 

نظراً إلى أن المخاطرٌَ موجودةٌ حكماً في كل أمر تقوم الشركة بهء فإن 
إدارة المخاطر ام ا الل يي ار امات الشركة كاملة. 
من المهنة. أن 7 عار لكيتيداية التي تجابه أهداف الشركة لتصل» على الأقل» 
إلى 'الحد الذي افوى نه القدرات الموهرة أثر التيديدات: المعكملة. 
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ولكي تتأكد من أن إدارة المخاطر تعمل كما يجبء قم بطرح الأسئلة 
التالية : 


< هل أنت على دراية بعمليات الشركة التي تدعم العمل اليومي؟ وهل 
تعلم ما هي الفائدة المرافقة للآعمال اليومية الناجمة عن تلكم العمليات؟ 

طخل تدرك آنا من اضوائط تقنية المتعلومات (السباساتك والعمليات» 
والممارسات» وإجراءات العمل القياسية (8075)/ المعايير) ترتبط بعملك؟ هل 
تستجيب لهذه الضوابط ؟ هل تطبق هذه الضوابط بشكل كامل داخل نطاقك؟ 

< هل تحدد المخاطر المتأصلة وتديرها فى مشاريعك وفى مخرجاتها؟ 

< هل تبحث بشكل واع في المخاطر المتعلقة بعملك وتديرهاء وكذلك 
فى كيفية تأثيرها فى نطاقك أو فى نطاقات الشركة الأخرى؟ 


سرية وثائق إدارة المخاطر 
تحتوي غالبا الوثائق المتعلقة بعملية إدارة المخاطر على معلوماتٍ سُرية 
للغاية» لذلك يتوجب حمايتها. إن هذه د كذلك على معلومات 
لها تأثيرات تنظيمية وقانونية محتملة في الشركة. ينبغي التفكيرء في بداية كل 
مشروع وقبل صياغة أي وثائق» فيما إذا كان هذا ا حرو شي ل د 
الآثارء فإذا كان كذلك فمن الضروري توظيف موظفين مناسبين من جهات 
أخرى يعنيها ذلك في المنظمة. 


الأشخاص والعمليات والتقنية والتسلسل الهرمى للضوابط 

إن إكارة المصاطر عن عملية تحفيت: القطر أولا وقبل. كل :ف :وقد ينيد 
33 السو اط قاين :ا كر وا أمموش ف قل عدي نوكت اد يكار 
تطبق لتحقيق ذلك «ضوابط) متنوعة وق ململ عرقي محدد لهذه الضوابط. 
ويحدد هذا التسلسل الهرمي للضوابط السو اجات المُنية المستخدمة لوصف 
إدارة المخاطر. يعتمد نجاح إدارة المخاطر على قدرتها في إدخال التغيرات في 
تقنيات المعلومات فى مجالات: السياسة» والعملية» والممارسات الإدارية» 
والقراناك «السعادي معدن شتوو للقيام بذلك أن يسود كلّ أنحاء الشركة 
تفهمٌ عام حول استخدام هذه المصطلحات. 


58 


توجد ثلاثة عناصر جوهرية تتعلق بتخفيف المخاطر (الشكل 1). إذ قد 
يظهر التغيير فى الأشخاصء أو فى العمليات أو فى التقنية : 

<< الأشخاص: من الممكن تغيير الأشخاصء. أو بدقة أكبر تغيير أفعالهم» 
من أجل تخفيف المخاطر. وكمثالٍ على ذلك القيامٌ باعتماد ممارسات حيال 
ترفيسن البرمحيات» دبعيك تنص المتظلبات. الواجن المقينتبما عقن خترء 
البرمجيات وتوزيعها. من المهم أن يكون الموظفون على دراية بالإجراءات 
المناسبة المتعلقة بشراء البرمجيات» كما ينبغى أن يعلموا أن تحميل البرمجيات 
من الإنترنت هو إجراءٌ غير مسموح به. 


الاتتنخاص 


الشكل (1). 


< العمليات : قد تُغيِّرُ العمليات لتخفيف المخاطر. سيكون المثال على 
ذلك إدخال عمليات إدارة النفاذ (والبرمجيات المرافقة») لتقليل المخاطر التى 
تنتج من عدم إدارة هذا النفاذ» مثل إيقاف النفاذ إلى معلومات الشركة من قبل 
الموظف فور تركه العمل. 

<< التقنية : من الممكن إدخال التقنية أو تعديلها لضمان تخفيف المخاطر. 
والمثال على ذلك هو أدوات برمجيات المراقبة والتفتيش على الأنظمة 
والتطبيقات الحساسة لمنع النفاذ المحظور. 
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التسلسل الهرمى للضوابط 
توصفٌ الضوابطٌ عادةٌ على أنها وثائق تُعزّرُ التغيير» وتنعكسُ في كثير من 
الأحيانٍ في وثائقٍ السياسية» ويشار إليها كذلك بالتسلسل الهرمي للضوابط. إن 
امتلاك نموذج للضوابط يشكل إطار عملٍ من أجل تخفيف المخاطرء وذلك من 
خلال تحديد الأفعال أو المخرجات التى من شأنهاء إذا ما نفذت» أن تقلل من 
المخاطر. يقوم الشكل (2) بشرح مثالٍ للتسلسل الهرمي للضوابط. 


عملية تقديم الخدمة 


الممارسات الإدارية 


الإجرائية والتقنية 


] لها لمق 


الإجرائية والتقنية الإجرائية والتعنية 


| المبادئ التوجيهية ( الارشادات ) 


الشكل (2). 


المصطلحات الفنية الشائعة 
تصف المصطلحات الفنية التالية الضوابط المختلفة المستخدمة لتخفيف 
المخاطر: 
< السياسة: تدير السياساثُ ممارسات العمل الموثوقة والآمنة لضمان 
اراك الوا اح طاي لجل ونان الباعا ا المقكد ف الهم كن وي المنتايطات 
بمثابة عقدٍ بين رب العمل والموظفين كما أنها ملزمة. 
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<< العملية: إن العملية هي «الأمرُ الذي نقومٌُ به وتشرح بوضوح الخدمة 
والمُخرَّجَ المستهدف. ومن الممكن وصف العملية في مستوياتٍ عديدة. 

<< المعيار الإجرائي: يشرح بالتفصيل كيف يجب أن يؤدى العمل. قد 
توضع هذه المعايير الإجرائية من قبل إدارة تقنية المعلومات لاستخدامها 
الخاص» أو قد تُفرض على مستوى المؤسسة ككل. 

<< المعيار التقني: يحدد الأدواتٍ أو القواعد الموضوعة كي تستخدم في 
تنفيذ العملية أو الإجراء. من الممكن أن يكون مضدر المعيار داخلياً أو 
خارجياً. سيتم اعتبار الحلول التقنية على أنها معايير تقنية في التسلسل الهرمي 
للضوابط. 

< الإرشاد: يقوم بوصف الممارسات المثلى لإنجاز العملية. إن هذه 
الممارسات ليست إلزامية على خلاف إجراءات العمل القياسية (807) أو المعيار 
التقنى. 

<< عملية إدارة المخاطر: 

"ا تقييم أثر المخاطر: تحديذدٌ ا لمخاطر التى حدثت نتيجة للتغير فى 
الشركة وتعيين أثرهاء وتقرير ما إذا كان الأمر يقتضى اتخاذ الخطوات 
لودارتها. 

5 تخفية ال ٠.‏ اطر: 35 وتنفيز الضوابط الضرورية - خف م أثر 
المخاطر المحتمل إلى مستوى مقبول. 


نموذج إدارة المخاطر 
لكي يُقَيّمَ أثرُ المخاطر ويُخَمَفْء يجب استخدام طريقة معيارية. كما ذُكِرَ 
سابقاً في هذا الفصلء» لا توجد طريقةٌ لإدارة المخاطر أفضل من الأخرى. إن 
الطريقة المشار إليها في ما يلي هي مجموعة من أفضل الممارسات من نماذج 
حكومية وصناعية» وأكثر ما يستحق الذكر منها هو «المعهد الوطني للمعايير) 
الأمريكي 2/15» وجمعية ضبط الرقابة على التقنية وأنظمة المعلومات الأمريكية 

4 1154. ومعيار منظمة أيزو العالمية (17799150). 
ليس النموذج هو مفتاح النجاح» وإنما كون النموذج مناسباً لشركتك» 
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وكونك» أنت» كمدير لمخاطر تقنية المعلومات» قادراً على تحقيق المكاسب 
للشركة من امتلاك طريقة لإدارة المخاطر. إن اعتماد طريقة 2006 تستخدم 
من قبل جميع وحدات الشركة لتقييم أثر المخاطر» هو عماد البرنامج الناجح. 
تناقش الفقراتٌ الآتية نموذج إدارة المخاطرء كما هو مبّين في الشكل (3)» 
وتحدّدُ خطواتٍ العملية ونشرها. 


مقدمة في أهمٌ المصطلحات 


المخاطر: إن الخطر هو وضعٌ أو نتيجة سيسفرٌ عنها أثرٌ سلبي. يقترن 
الخطرٌ دائماً بالنتيجة السلبية» وإلا فلا يمكن اعتباره خطراً. 


الشكل (3) . 
مصدر المخاطر : إن مصدر المخاطر هو حدثٌ أو ظرفٌ يؤدي إلى ظهور الخطرء أ تغييرٍ أثره 
المحتمل» أو تبديل احتمال ظهوره. 


التهديد: هو الإمكانية أو القدرة على التسبب بالضرر. إنه الشخص أو 
الشيء الذي سيسبب أثراً مالياً إذا ما وقع الخطر. 


الععرة: إن اليقر شي عدا ميل أو تس عكما كن الالال كرحن 
فيها مخاطرء وتُحدتٌ الثغرةٌ ضعفاً (أي: وضعٌ موجودٌ حكماء شتنا أم أبيناء 
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يحتوي على نقطة ضعفٍ تجعلنا عرضةً لشيء ما). تمتلك الثغرةٌ القدرةة على 
زيادة احتمال وقوع الخطر أو زيادة احتمال الخسارة أو أثر وقوع الخطر. 

العميزة: هى الشيجة الامجانة ال فل تصرز/ تشمق إذا هنا قوفنا لفيا 
للمخاطر. إن الثمرةً تجعل عملية التعرض للمخاطر جديرةٌ بالاهتمام» وتكون 
الثمرة عادةً المكافأة الموعودة التي تُسوّغ مجابهة الخطر. قد تؤدي المخاطرةٌ 
إلى ثمرة مضمونة وقد لا تؤدي. قد تعرّض المخاطرٌ الثمرة/ الفائدة للفقدان. 

الاستجابة للتخفيف: هى مجابهة المخاطر باتخاذ التدابير للتقليل من 
أثرها. 


إن بعضاً من المفاهيم الجوهرية المُتَصَّمنَةِ في نموذج عملية إدارة المخاطر 
جديرةٌ بالاهتمام: 
© نادراً ما يتم التخلص من المخاطر كلياًء فهي تُخَمّفُْ فقط أو يُسِيطرٌُ 
عليهاء ولذلك فإن نموذجَ إدارة المخاطر هو حلقةٌ دوّارةٌ لا نهاية لها. 
بعد أن يتم تقليل الخطر يجب تفحصه دورياً. كما ينبغي أن توضعٌ 
الضوابط تحت الاختبار على فترات منتظمة للتأكد من حسن الالتزام 
بها. 


© إن خُطوّئَي العملية الجوهريتين» أي تقييم أثر المخاطر وتخفيف 
المخاطرء تجمعان على التوالي المعلومات التي تدعم الخطوات 
الأساسية فى مجمل العملية. 


تحديد المخاطر 


إن الخطوةً الأولى لعملية تقييم أثر المخاطر هي المراقبةٌ المستمرةٌ 
المطلوبة لاكتشاف التغيرات فى بيئة الشركة» لا سيما القوى المحركة التى قد 
تؤدي إلى مخاطر إضافية أو تعديل تلك الموجودة فى الشركة. إن من الخدزات 
ال ا 0 
وجهة نظر من يجب أن يحلل مشهد (سيناريو) المخاطر)ء أو من الذي سيتكبّد 
عملياً خسائر» ومن سيكتسب ثمرات؟ 


53 


من أجل الوصول إلى منظور متكامل للشركة» قد يكون من الأهمية 
بمكان» فيما يتعلق ببعض مشاهد المخاطرء. تحليل الوضع نفسه من أكثر من 
منظور (على سبيل المثال: قد يكون لدى كل من وحدات الشركة المختلفة» أو 
المجالات الوظيفية داخل الشركة» وجهة نظر مغايرة حيال خطر ما). 


تحديد نطاق العمل 
يُعدَ تحديدٌُ مجال العمل محوراً هاماً آحر لإذارة المخاطر. ينبغى عند إدارة 
القن يتسدليا الفسلية. اما هن الشوع المشفوك نوما هو الس السةد؟ إن؟هذا 
ضووزع + خصوضا ضيبلا كنات كمية الخسارة أو الفاقذة/ الكمر» اللعين تعائران 
بشكل مباشر بكمية وحجم مواضيع المجال. 
فوايقس]: نكال العمل قل الققعةي والهدون التنطبيية ::والسعزافنة 
والوظيفية. 
من الضروري جداً تحديدٌ مجال العمل بغية تحليل مواقع الخطر الرئيسية» 
وذلك كي نتعامل مع مقادير من المعلومات سهلة السيطرة (فقد لا يكون ممكناً 
جمع البيانات حول كامل الأثر لقانون تنظيمى جديد فى جلسة واحدة من 
جلسات تحديد المخاطر ‏ فقد يكون المجال واسعاً جداً وعندها يكون تقسيم 
المجال ضرورياً). وعادةً ما يتغير ممثلو الجهات ذات المصلحة مع تغير نطاق 
عمل تقييم أثر المخاطر. 
من الأقوال التى تَُعَرّف نطاق العمل فى تحديد المخاطر ما يلى: 
© يتضمن هذا النطاق جميعٌ أنظمة تقنية المعلومات في المؤسسة» سواءً 
كانت داخلية فى الشركة أو التى تدار خارجياً بواسطة المزودين» ولكنها 
تستبعد جهاز قيادة العمليات وأنظمة الحاسوب. 
© جميع أنظمة الحاسوب من أيٍّ نوع كان» وتقنية المعلومات» وجهاز 
قيادة العمليات. ١‏ 
© جميع أنظمة حواسيب تقنية المعلومات الخاضعة لقواعد خاصة» على 
سيا المغال: اقفن الشركاف الطالنة والسعففورات الصيداية: 
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قياس الثمرة المحتملة 
تجلي كر قو محركة جخدندة أو معتدلة قمرة مقايلة قل :تتضون: هذه 
الثمرة : 
1. مجموع المبيعات أو الربح المتوقع. 
2 التخفيض فى الخسارة المتوقعة. 
3. عوائد التعاون : توفير ناتج من تكاتف الجهود. 
4. تجتب تكلفة أو توفير في التشغيل. 
5. تجنتب خسائر فقدان السمعة. 


لقا بو ف الا رسي 


من المهم الأخذ بعين الاعتبار كلا من وصف الثمرة وقيمتها المحتملة 


قياس المخاطر 


لتقرير ما إذا كنت ستتوصّل إلى إنجاز عملية كاملة لتقييم أثر المخاطرء 
لابد من إلقاء نظرة شاملة على القوَّة المحركة وراءً التغيراتٍ الجديدة أو 
المعدلة» وتتضمن المجالات التى تتطلب البحث: 


© السبب الذي أدى إلى التغيير. 

© مُبِرّراتٌ التغيير والمنطق وراءه. 

© من الذي أحدتٌ التغيير. 

قم بتحديد المخاطر المحتملة المحدقة بالشركة انطلاقاً من فهم التغيير في 
القوى المحركة. قد تكون هذه المخاطر أخطاراً سابقةً قد تمّت دراستها من 
قبل أ قل تكو أبخطار ١‏ جديلة. لحن شاط الشركة ف كل من اعمال 
النجايية للشركة :+ وتقية المعلوماف: كلا عن حينة: 
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التي جرت معالجتها ووضعت لها ضوابط من خلال جهود سابقة» والمخاطر 
الجديدة التي لم يتم تفحصها رسمياً في الماضي. 


فيما يتعلق بكل خطر جرى تحديده. كور ثالنيتت يروصت الحطر 

اقم لمطماتي اكد سرامي تم تحليله سابقاًء فقم بتلخيص نتائج 
الآأثر فى أعمال الشركة 
تتضمن الخطوةٌ الرئيسيةٌ التالية تحديدَ أثر المخاطر في الشركة. تشتمل هذه 
الخطوةٌ العلى عتلال متيل الحو الجبدالا ال بعري داريا إن الهدفٌ هو 
تقديرُ الأرجحية والأثر المحتمل لهذه المخاطر من أجل اتخاذ قرارات واعية 
حول الخطوات المناسبة التالية. 
تحليل المخاطر 

يجب أن تُحَلّْل كل المخاطر وتُصئّفَ إلى فئاتِ حسب تأثيرها في أنشطة 
الشركة» إن القائمة البسيطة لذلك هى: 

© أمان تطوير المنتج. 

© جودة المنتج وتوفره. 

© نظم تقنية المعلومات. 

© إدارة المعلومات. 

© الحفاظ على الأصولء والموارد والمعلومات الأساسية 

© ممارسات التسويق والمبيعات. 

© نزاهة المدراء والموظفين. 

© عدم التمييز في التوظيف. 

© معاشات التقاعد. 


© الضوابط المالية. 


596 


© قانون التنافس. 

© الإدارة البيئية. 

© سلامة الموظف وصحته. 

© المقاضاة. 

قس المستوى الحالي للمخاطر . 

نبيّن فيما يلي طريقة نموذجية لقياس المخاطر. إن معيار القياس هذا يرتكز 
على اعتبارين اثنين هما: 

1. القيمة المتوقعة أو الأثر المالي» ونرمز له ب (الأثر المالي 5)» إذا ما 
وقعت المخاطر يجب تفحص ذلك دائما من وجهة النظر التجارية» وليس من 
منظور التقنية. 

2 إحتمال أو أرجحية وقوع الخطر ونرمز لها ب ((). 

وتكون صيغة أو معادلة أو قانون حساب المخاطر هي: 

قيمة الخطر(5) - الاحتمال (إ) < الأثر المالي (5) 


يتطلب قياسٌ المخاطر معرفة القيمة المتوقعة لأثرها فى أعمال الشركة 
إذا ما وقع الحدث. يجب أن تَحسّبّ وحدات الشركة المتأثرة هذا الأثرّ 
المالى. 

تحاف لقي المفيزلة للقنانن العاف كا “كك مك لماكل بن السطديد فت 
بطريقة لقياس مدى جودة إدارة المخاطر أو تخفيفها عندما نقوم بإدارة المخاطر 
وفق إطار العمل. 
صيغة أو معادلة أو قانون حساب الثمرة (ما هو مستوى الخطر المقبول الذي 
تستطيع الشركة الموافقة عليه مقابل ما تجنيه من الثمرة المرافقة). هذا هو 
مستوى المستهدف. إذا كان مستوى الخطر الحالى يعادل هذا المستهدف.». 
عندئذ لن يكون التخفيف مطلوباً وستقبل الشركة هذا الخطر. 
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تقييم أثر وجود الثغرات 

يحدَّدُ هذا التقييمُ جميعٌ المقومات التي قد تساهم في وقوع الخطر المحتمل. 
يشار إلى هذه المقومات ب الثغرات والتهديدات. في معظم الحالات» سيكون 
هناك العديد من الثغرات والتهديدات لكل المخاطر المحتملة على الشركة. 

لا تتهنمك كفيرا كن المناقشة العى تدوز تصول تجازيت التهديذات 
والثغرات» فهذا لا يهم طالما أن شركتك تمتلك فهماً عاماً لهذين المصطلحين» 
إن المناقشات المبالغ فيها حول المصطلحات تعرقل العمليات. 

حدد أبعادَ الثغرات 

يفيل الانشاضني الذين يعملون في تقنية المعلومات إلى إطلاتي الأحكام من 
منظور التقنية. إن التقنية عادةً ليست بحد ذاتها محل الخلاف» وإنما الخلاف على 
نحو أدق هو في كيف تدار التقنية» أو كبك توث” العوامل البشرية في استخدام 
التقنية. تقتضي عملية التقدير» لفهم ثغرة من ثغراتٍ وحدة ماء تحديد الأمر الذي 
يضع هذه الوحدة في خطر. 

إن الأشخاص» والتقنية» والعمليات», والبائعين» والقوانين». وشركاء 
الشركةء وأنظمة البنية التحتية» والمنشآتء. والبيئة» والاعتبارات المالية 
والاجتماعية والتنظيمية قد ثرى جميعها على أنها ثغرات. ولكن النقطةً الأساسية 
هنا عن اكتشياف التهد يداك الأعدو اعضالا الى "تعلق دراه الشركة تخديداً. 
تُستنتجٌ الثغراتثُ وتُحدّد بالاعتماد على التجارب السابقة» وطبيعة الشركة» 
والتنافس» والمكان» ومدى اعتماد الشركة على التقنية» والاعتبارات السياسية 
والجغرافية» وإلى آخر ذلك. 

تقييم أثر مارسات التخفيف 

إن الخطوةً التالية هي تقيِيمُ فاعلية استراتيجياتٍ التخفيف المعتمدة حالياًء 
وإدخال استراتيجيات تخفيف إضافية بهدف إدارة المخاطر بشكل فعَال. تتضمن 
الفنواط. النافةة الاتكزائيميات الموخودة حكبا في المتلسل المرنى» للضوابفل: 
وقد يكون هناك استراتيجيات تخفيفي إضافية ناتجة من نقل المخاطر من 
جهاتٍ أخرى. 
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إجمالاًء ستوجد ثغرات وتهديدات متنوعة في دوائر مختلفة من الشركة 
وتساهم جميعها في إيجادٍ المخاطر التي يجري تقييمها. قد تتولى عدة دوائر 
في الشركة » عندما ع الفرصة » عملية تقدير الفحيب المطبّق حالياء فعلى 
سبيل المثال: إن تخفيفٌ المخاطر المتعلقة بالتحكم بالنفاذٍ إلى المعلومات 
هو في الحقيقة مسؤوليةٌ مشتركةٌ بين تقنية المعلومات» ومدراء الشركةء 
وقسم الموارد البشرية. لا يمكن إبعاد الخطر وتخفيفه ببساطة من خلال طرح 
برمجيات حاسوبية جديدة فقط. إذ من الضروري وجود عملية متفق عليها من 
قبل جميع الأطراف مطورة ومتّبعة من أجل ضمان أن إمكانية النفاذ إلى 
المعلومات قد تم قطعهاء على سبيل المثال: عندما يقوم الموظف بمغادرة 
الشركة. 

حدّد أصناف التخفيف 

حدّد العمليات التي تُستخدم حالياً لتخفيف الثغرة أو التهديد. تشير أصناف 
التخفيف إلى أنواع الضوابط. إن الضوابط الأكثر شيوعاً هي : 

© السياسة. 

© العملية. 

© ممارسة الإدارة. 

© الإرشاد. 

© إجراءات التشغيل المعيارية أو القياسية (5079). 

© المعيار التقنى. 

© العقد. 

6“ المنظية) المسعلين:” 

فقوي 

© القوانين أو القواعد. 


0 أدوات بر مجية. 
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من المهم أن تتفقّدَ عملية تقييم أثر الضوابط الحالية أربعَ مناطق جوهرية 
ا 

< هل توجد ضوابط جاهزة من أجل هذه الثغرات أو هذا التهديدات؟ 
(أي :هل الضوابط موجودة؟) 

< هل تطبّق هذه الضوابط كما يجب؟ (أي. هل تطبق في كل مكان 
تكون فيه ضرورية؟ هل تطبق بثبات؟) 

< هل الضوابط فعّالة فى إدارة الثغرات أو التهديدات؟ هل كانت الضوابط 
للمخاطر المحتملة (أي. هل وقعت سابقاً المخاطر) في الماضي؟ 

< هل توجد إجراءات وقائية أو ضوابط جاهزة لتخفيف هذه الثغرات أو 
التهديدات؟ هل كانت هذه فعّالة فى الماضى؟ 

قم بصياغة توصيات حول ما يمكن فعله أيضاً لتخفيف الثغرات 
والتهديدات». وذلك تبعاً لنجاعة الضوابط الموجودة» وفى ضوء الفحص 
المفصّل للثغرات والتهديدات؛ فقد تكون هناك ضرورةٌ إلى ضوابط إضافية» 
وعمليات جديدة و/أو تقنية جديدة. من الواضح أن التوصيات النهائية» 
التي ستدرج في خطة تخفيف المخاطر»ء يجب أن تشتمل على تلك 
الخيارات التي تعطي الربمَ الأمثل و«القيمة المضافة» الأعلى والعائد الأكبر 
على الاستثمار وعلى الموارد المطلوبة» أي التى تعود بالفائدة الأكبر على 
الشركة. 

بعد وضع التوصيات» المتعلقة بجميع المخاطرء تَحَقّقَ من أنها: 

- مترابطة وتعالج جميع المخاطر. 

- ستكون مقبولة من هؤلاء الذين سيتعاملون معها يومياً في جميع دوائر 
الشركة. 

- لا تتناقض مع الضوابط الموجودة ولا تسبب آثاراً سلبية خارج نطاقها. 

- تأخذ بالاعتبار التكاليف المتوقعة» والخطر المحتملء» والثمرة المرتقبة. 
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قلس الالتزام 
وطور أدواته وطرائقه وعملياته 

إن قياس الالتزام أمرٌ مهمٌ لنجاح كامل عملية إدارة المخاطر. حدد ما 
إذا كان لطرائق إدارة المخاطر حقاً أثرٌ إيجابي» وكن قادراً على قياس المدى 
الذي تُستخدمٌ فيه تعليا قتر انظ السو من الواضح أن قياسٌ الالتزام 
بالتطبيق أمرٌ شاقٌ» إلا أن ما يساعد في نجاح هذا التطبيق هو سهولة العملية 
وإدراك فوائدهاء وليس لها أثر سلبي. يتم عادة إدخال المدققين للمشاركة في 
هذه المرحلة من العملية» فالمفتاح الأساسي هنا هو ضمان أن المدققين هم 
مع العملية» وأن نتائجهم لن تُستخدمٌَ ضدّ الدوائر أو الوحدات التي يجري 
تدقيقها. 

يجب أن لا يُنظرَ إلى مراقبة الالتزام بالتطبيق على أنها وجهُ العقوبة في 
إدارة المخاطرء وهذا هو السبب وراء أهمية إيجادٍ وظيفة منفصلة لإدارة 
المخاطر تكونُ شريكاً مع فريقٍ الشركة المدققة. خذ بعين الاعتبار ما يلي عند 
التخطيط لأدوات قياس الالتزام بالتطبيق: 

حر نطاق تطبيق قياس الالتزام أئ ما الذي سيتم قياسه. أين ومتى ستتخذ 
القياسات» ومِنْ قبّل مَنْ؟ 

<< كيفية تأدية الحصول على البيانات» على سبيل المثال: استفتاءات تقييم 
الذات» أو الأدواث المبنية على آلية ال «ويب» (560ة865-6)» أو المقابلات» أو 
نتائجُ المراقبة والتدقيق» أو الإحصاءاث المستقاةً من تنفيذ العمليات الروتينية. 
(لا تستخف بالوقت المطلوب للحصول على البيانات) 

< كيفية الحتٌّ على الإجابة أو الرد» على سبيل المثال: كيفية ضمان أن 
الاستفتاءات ستحظى بالإجابة» كيفية ضمان عودة البيانات كما هو مطلوب. 


ح طرائق جمع الردود وتخزينها. 

< طرائق قياس الإجابة» أي تحديد كيفية استخدام البيانات لقياس مدى 
الالتزام. 

<< تفخُصٌ إجراءات المتابعة الضرورية. 


101 


< قد يقتضي الأمرُ جمعٌ معلوماتٍ أخرى في مهمة التخطيط الأولية هذه. 
بما فى ذلك: 


قائمة جرد لما هو تحت السيطرة حالياً» 


9 وعملية حل النزاع» وعملية التصعيد. 


الخلاصة 

إذ ذاو المشاطو عيل تمي الشركة وهو ممازسسة إفارية متشيحة: إن 
استخدامٌ ممارساتٍ إدارة مخاطر تقنية المعلومات أمرٌ مهمٌ لنجاح الشركة في 
عصر الأعمال الإلكتروني» لذلك فإن استعمال إطار عمل إدارة المخاطر لتقييم 
أثرها في تقنية المعلومات» يسمح للشركات اتخاذ قرارات منطقية حول 
المخاطرء ويساعد على تحديد مكان استخدام الموارد لتخفيف هذه المخاطر. 
الأمر الأخير والأكثر أهمية هو أن استخدام منهجية مشابهة لتلك المبينة في هذا 
الفصل يُكَذَلٌ بالنجاح عادةً» فالمفتاح هو استخدام العملية بشكل متماسك 


الوثوق بالأنظمة المعتمدة 


«هل نستطيع الوثوق بأحد؟». هو قولٌ شائمٌ في مجتمع أمن المعلومات» 
ولكن في بعض الأحيان» يحتاج كل من الأشخاص والأنظمة أن يثقّ بعضهم 
ببعض كي يتمكنوا من إرسال المعلومات وتلقيهاء وتخزينهاء واستخدامها 
وتحديثها. تتبادل الأنظمةٌ في العديد من الحالات معلوماتٍ هامةً خلال بضع 
ثوان (مثل أسواق المال) مستخدمة مجموعة من مفاتيح التعمية أو أمارات 
التضديق التي تكيتك:هوية كل متهب: تتاكد ادة أنظمة البرين الالكتروتي :لدى 
الشركات من هوية بعضها بعضاً قبل الأخذ بمحتوياتها كي تضمنَ أن الرسائل 
السَّريةَ لن تُنقل إلى حاسوب مخدم غير مخوّلٍ بالاطلاع عليها. ومع استمرار 
تعاظم إرسال كميات متزايدة من رسائل البريد الالكتروني غير المرغوب فيها 
(5583)» نُوقِسَّت العديدٌ من الاقتراحات من أجل قيام الرسائل الكترونية 
ب «التعريف) عن نفسها قبل موافقة المستخدم على استقبالهاء وبذلك سيجري 
رفض الرسائل غير المستحبة (غير الموثوقة). 


كيف يصبح النظام «موثوقا»؟ يعتمد ذلك عادةً على طريقتين مستخدمتين : 
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أ- التأكد من أن البرمجياتٍ المُدخلةَ على النظام «جيدةٌ ومعروفةٌ» وقد 
جرى تفحصها والاطمئنان إلى خلوّها من الفيروسات» والديدان» وأحصنة 
طروادة ونقاط ضعف أخرى تجعلها غير جديرة بالثقة. بالإضافة إلى ذلك 
تضاف برمجياتٌ خاصةً للتصديقٍ أو التعمية تسمح باستجابة شرعية لتساؤلات 
الحماية من قبل الأنظمة التي تحتاج إلى مشاركة المعلومات معها. في معظم 
الحالات تُجرى اختباراتٌ دوريةٌ لبرمجيات أمن الأنظمة لضمان أنها لا تزال 
موثوقة. 

ب - قيامٌ جهة مستقلة وموثوقة» مثل (إي ترست» (اقناناظ) أو ١حلول‏ 
الشبكة) (دهن1ه50 1:ه:2160). بفحص النظام والتأكد بثقة وأمانة من صحة 
سياسات المنظمة وإجراءاتها المتعلقة بأمن معلومات الزبون. قد تقوم كذلك 
مجبوعة ميل + كع من اللك التحصن» العا قد امن «رانة بئات أمذ 
الأنظمة. 

تماماً كما هي الحال ذ في الوثائق الورقية» يجب على المنظمات 
والركاة أن تقوم بحماية مخلرماقت الزبون الحاسوبية إلى أقصى درجة معقولة 
أو عملية. إن الحصول بطريقة غير شرعية على المعلومات التي تخزن فعا 
أسهل 0 من تلك المخرنة ورقيأء واستخدامها من أجل أهدافٍ متعددة 
اسيل وأسرع, ومن الممكن أن تؤخذ بدون علم المالك.» على الأقل لبعض 
الوقت. تجتمعٌ كلّ هذه العوامل - إضافة إلى قوانين ن الحكومة حول خصوصية 
الزبون والاستخدام غير الشرعي لمعلوماته ‏ في المستوى الإداري للشركة أو 
المنكينة كويطانات: ليا به" الجعلومات: الشاضة «الذيون امي الوصير كه الميلور. 
إليها وسوء استخدامها. 

يتطلبُ تنفيذٌ هذه المهمة (إذا كان من الممكن تنفيذها) خبرةً خبراء برامج 
الحاسوب» ومدراء الشبكة» ومصممي الإنشاءات» ومهندسي أمن المعلومات» 
والاذارة6واخرين كثر: يحتوي القسم الثالث من هذا الكتاب على معلومات 
حول الأفكار والتقنيات المتنوعة والمتوفرة لحماية البيانات - يصف هذا القسم 
«السَّبَبَ) أو «لماذا». 

إن أبسط سبب ل «لماذا» هو توقع سيادة الثقة بين الزبون» والمساهمء 
والمزود» والمنظمة التي يمدونها بمعلوماتهم. كا شت حل هذه الجهات 
بأن معلوماتها الخصوصية قد سُرْبَت بدون معرفتها أو بدون أَذنٍ مسبقٍ منها - أو 
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أنها سرقت ‏ من الذي وثق بهء فإن لديها طرقاً عديدةً لطلب حُكم قانوني 
ومالى للتعويض عن الأضرار الحاصلة جرّاء خلل الثقة. إن حماية المعلومات 
الو بناءة على الثقة» من أجل استعمالها في التعاملات بشكلٍ قانوني» 
تنطوي على مخاطر وفوائد. تكمنٌ المخاطرٌُ فى احتمالٍ سرقة هذه المعلومات أو 
إساءة استخدامها بطرقي غير مخطط لهاء ا بذلك عقوبات مالية وقانونية. أما 
الفوائدٌ فتفوق عادةً المخاطرٌ وتتمثل بالأرباح المالية من التعاملات المتزايدة» 
وفرص البيع الأكثرء وفرص البيع البيني» ومن التكلفة المنخفضة جدأ لخدمة 
معلومات حساب الزبون وإدارتها. 

يفصل (1996 ,1هلصنا8 قصه فكاءتنم.آ) عام 1996م ثلاثة أشكالٍ رئيسية للثقة 
موجودة في سوق الأعمال: 

1. الثقة القائمة على الردع: توجد عندما يقومٌ الأشخاصٌ أو المنظمات بما 
قالوا إنهم سيقومون بهء نظراً إلى وجود تهديدٍ بالعقوبة إذا فشل الأداء. يوجد 
هذا النوع من الثقة في المجتمعات المالية» والقانونية والطبية عندما تكون تكلفة 
خرق هذه الثقة غالية جداء تشكل التكلفة ردعاً إزاءها. 


2. الثقة القائمة على المعرفة: توجد عندما يستطيعٌ الشخصٌُ الوائق 
تصرفات الطرف الآخر والتنبؤ بها من خلال معرفة شىء ما حوله» مثل عندما 
تحقذ انفاقية الجهوة مصعة "وققاً لطلت الزبون أو جواهر -مصمنة لتناسب اجات 
تضق ما 

3. الثقة القائمة على التشابه: توجد عندما تبط الوائق بالموثوق به رؤى 
وجود رابطة مشتركة تُخلق بالاستناد ل عب ع وكال ذلك 
مجموعة أعضاء فى حزب سياسىء» أو فى بطاقة اتتمان ترعاها منظمةٌ غير ربحية 
لخدمة أعضائها. 

تنهار الثقة عندما تُسرق المعلومات الخاصة بالزبون» أو تُفقد. أو 
تُخَْربٍء أو يُساءُ استخدامهاء وبالطبع من فترة إلى أخرى تفشلٌ التقنية أيضاً 
وتُفقَدُ المعلوماتٌ كس مؤقت. إلا أنه في الحالات التي يجري فيهاء بشكلٍ 
غير شرعي» : نيد المعالويات أو فقدانهاء أو كشفها للعامة أو سوءً 
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كواب الجا سيك خاضينه تقو الادارة عنادة الفط الآون فصان قينا 
يتعلق بالأسئلة حول كيفية وقوع هذه الحوادث» وما هي خطط منع حدوثها 


مجددا. 


إذا ما عدث .صلل ف آم المتعلوفاف- :يعن النظن قن ستهمة أ 
الوم كني أن لجرك كفنا سانا اوتتئلياة دلبنا اللحبية النين ورا 
تتدكه وجاك طوف ارومن فهر 11 ليا رونا كو لعب اد لقف مركن لاد 
لتجنب حدوثه مجدداً. يجب على الإدارة العليا والمدراء التنفيذيين أن 
ينهمكوا فى هذه الأنشطة ليدركوا درجة الخطر التنافسى» والإعلامى» 
والساض» الجا لق لندن والفاطيية يديدة تفلن و روكت كن لات أن 

نظرا إلن أن كميات: مكرايدة من اللأعمال التجارية تتز عبن الإنعردك» 
يختفي الاتصالٌ المباشر بين الشخص والآخر مما يؤدي إلى عدم معرفة من 
يقوم بشراء المنتجات أو الخدمات. توجد حالياً تقنية تكتشِفٌ ضرباتِ الشخص 
على لوحة مفاتيح الحاسوب, وتُوصّفُها مع تصرفاتٍ أخرى يؤديها الشخص 
عادةً فتؤدي هذه التقنية بالتالي إلى أن «تبدو» الحواسيبٌُ بالاستناد إلى هذه 
المعلومات المرسلة إلى لحري الأخرى على أنها أشخاص. قد يكون هذا 
مقتولا فى التعالات العاديةم روتكد دري البحالقت غيل القانوقية مكل اشر قة الهو 
أو الخداع المتعئد للزيونء قد تحمل الشتركات عبئاً مالا هائلاً». ومن المختمل 
أن لا يغطى من قبل التأمين أو المدخرات المالية. 

التأكد من المعلومات الرقمية خارج المنظمة 

نتيجة لتزايد إجراء الصفقات والتعاملات الإلكترونية بين جهات لا 
تعرف بعضها بعضاً عبر الإنترنت وعبر أنظمة الاتصال المباشرء يُطالبُ 
الأشخاصٌ والشركاتٌ والمنظماتٌ بتقديم معلوماتِ خصوصية تتعلَّق بهم كي 
يقوموا بتعزيز الثقة مع شركائهم التجاريين. تكون هذه المعلومات في بعض 
الحالات معقولةً وعامة كالعناوين» وأرقام الهواتف. والعلاقة مع جهة ثالثة 
مكل الوك 

يمْنَعُ الوصولٌ إلى الشبكة أو النظام لأيّ شخص لا يرغبُ في إعطاء 
بياناتٍ أمنيةٍ لإثبات هويّته. ويعود ذلك إلى تعاظم سرقة الهوّية» والخداع 
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أو التزوير أو السرقة أثناء الاتصال المباشر. لقد جرى تطويرٌ البنية التحتية 
للمفتاح العام (6161)”* كَحَلَّ لمشاركة المعلومات الخصوصية وتأكيدها بين 
طرفين لا يريدان تقاسم أسرارهماء ولكنهما بحاجة إلى إجراء تعاملات. 

تقوم منظومةٌ ال (511)» التي يشرف عليها طرفٌ ثالتٌ» بتأمين التواصل 
بين المجتمعات العامة أو الخاصة التى تطالب بكفالات من أجل التحقق من 
الهوية وعدم إكان عسات يد لضي الثالثُ الموثوقٌ بالمفاتيح العامة 
المستخدمة لفك تعمية الرسائل والصفقات التي يُرسِلُها المستخدمٌ مستعملا 
مفعاحة الخاض. تُوفَة منظومة (0161) للمستخدمين. طريقةٌ مستقرة قابلة ,للاثباك 
لتوقيع الوثائق توقيعاً رقمياً» والقيام بمشترياتِ ضخمة» وإجراء المعالجة الطبية 
واستخدامات أخرى» وتشابه هذه الحالة من حيث الفكرة حالة الزبون والتاجر 
اللذين يضعا ثقتهما بشركة بطاقة الائتمان لإرسال فاتورة حساب الزبون ودفع 
عبات لماج 

من المهم أن تكون فوائد تبادل التواقيع الرقمية والملفات الأخرى رقمياً 
واضحة للمدراء التنفيذيين وكبار المدراء» فالتوفير في الوثائق الورقية» وفي 
وقت الانتظارء وفي رسوم البريد قد تبلغ ملايين الدولارات في كلّ سنة 
للمنظمات الضخمة» وقد تكون الوفورات هائلة للمجموعات الأصغر. يتطلبٌ 
اعتمادٌُ منظومة (2121) موافقة المجتمعات القانونية والمالية لتكون ناجحة تماماء 
ولقد بدأ العديدُ من الشركات الضخمة مثل مصرف (سيتي بانك) باستخدام 
التواقيع الرقمية عندما يكون ذلك مسموحاً قانوناً. 

الخلاصة 

إن حوكمة أمن المعلومات موضوعٌ عميقٌ وواسمٌ يتطلّبُ تركيزاً مستداماً 
فلع العفيلك مق النشتاظات التبنافة والأسى اقيكية وذلك المعلفة تالويون 
فالمخاطرء والمسؤولية» والنزاهة» والثقة». والأخلاق هي فقط بعض من 
مجالات المسؤوليات التي تواجهها الإدارة العليا بشأن هذا الجوفيوم) ويتطلب 


(:) وهي منظومة تعمية (تشفير) تشرف عليها جهة حيادية مثل الحكومة أو شركة معتمدة تحدد لكل 
شخص أو شركة مفتاح تعمية خاصاً وآخر عاماًء تضمن هذه المفاتيح تحقق كل جهة من هوية الجهة الأخرى 
قبل تبادل المعلومات. 
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كن"مقها: كيرا جادا مخوك الانترافيات» بوالاتضالاك وردود الأفعاك التى توثر 
في أغلب - أو جميع ‏ دوائر المنظمة. 


إن ما يثِيرُ الاهتمامٌ في جميع هذه الشيالات هو الؤرحة العالبة ميق 
التكامل فيما بينهاء ففي أغلب الحالات» يتطلبُ المجال الواحدٌ الدعمّ من 
جميع المجالات الأخرى. فالقليل منها هي جزرٌ مستقلة» ويعود ذلك إلى 
تكامل البريد الالكتروني» وأنظمةٍ الدعم الحاسويية القن تمعد عن كل دوائز 
المنظمة وعبر سلاسل التزويدٍ المتكاملة مع الشركة. إن الناحية الإيجابية في كل 
هذا هي أنه قد يحدث تداعمٌ وتعاضد هائلٌ بين الأنظمة المتكاملة عندما تُطْبَّقُ 
بنجاح وتدارٌ بشكل مسؤول. 


كما يمكن أيضا اعتماذ حماوسات أمن- معلومات قوية ومتدرجة فى كل 
وؤائق الحنتظيكة :نت فك البها كته يكرن الصيرت خلى هذه السمارسنات 
تدريجياً وبانتظام أكثرَ ربحاً من الاضطرار إلى دفعها لاحقاً لتسوية ادعاءات 
وإعادة تأسيس مصداقية المؤسسة بعد فقدان الأمن أو حدوث خلل فيه. 

إن قرارات الحوكمة وبناءة هيكلية أمن المعلومات» التي بدورها تؤدي إلى 
اختيار التقنية» مواضيع سيجري تناوثها في أقسام الكتاب اللاحقة. 


الممارسة الأفضل (المثلى) الحساسية التكرار المشاركون نتائج النشاط 
الإدارة» أمن |ارتباط المعلومات 
المعلومات الباشر بالأشخاص 
تبعاً لحاجة الشركة. 
إلى معرفتها أو استتخدامها؟ 
هل تمالتحَمُّقُ من ية تة أ الإدارة» أمن | خطةٌ أمن متكاملة 
افتراضات الأمن في جميع المعلومات» المالية» | قائمةعلى حاجة 
مستويات المنظمة؟ هل هي التسويق الشركة وتوفْر 
مرتبطة بحاجة الشركة؟ الاستثمارات. 
هلتلتزمُ اللنظمةٌ 3 أذ الإدارة» أمن |ثقة العامة والموظفين 
بالممارسات الأفضل في المعلومات»ء المالية» | بالمنظمة تؤدي إلى 
المسؤولية» والنزاهة» قسم الموارد البشرية | عائداتٍ أعلى» وحصة 
والثقة» والأخلاق؟ والتدريب أكبر من السوق. 
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تابع 

هل تمتلك المنظمة سياسات 
منطقية نافذةً توازنٌ بين 
مراقبةالموظقفين 
وخصوصيتهم؟ هل هي 
مكتوبة؟ 

هل هناك خطط جاهزة 
لنقل الأخبارالجيدة 
والسيئةإلىالزبائن 
والمساهمين؟ 

هل هناك إجراءات وقائية 
فعّالةونافذةلحماية 
مستلتؤيات الجركون 
والمساهمين؟ 


هل تم تأكيد افتراضات 
المخاطر من أجل المنظمة؟ 
هل مازالت دقيقة؟ 

هل أدواث الالتزام 
بضوابط التعامل مع 
المخاطر جاهزة وهل يجري 


استخدامها؟ 


عالية 
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الإدارة» أمن 


المعلومات 


الإدارة» المالية 


الإدارة» المبيعات 3 
التسويق 


الإدارة» أمن 
المعلومات» المالية 


الإدارة» أمن 
المعلومات» المالية 


تقليل الالتباس بين ما 


الثقة فيك قدرة الإدارة 
على تحقيق الأهداف 


الزبائن حول تسريباتٍ 
خاطئة للمعلومات 
ا مخصوصية. 
يسكويات خاطده 
الدقيق وتخطيط الوقاية 
عمليات موثوقة» قابلة 
للتنبؤهالتحديد 
وتقليل المخاطر 


(لقسم الثاني 
هيكلة منظومة أمن المعلومات 
(قضايا العمارة) 


يركرٌ هذا القسم على بناء «عمارة» أمن المعلومات بما في ذلك القضايا 
التي تهمٌ الإدارة العليا والمديرين التنفيذيين حول كيفيّة ترتيب الأمن» وهيكلة 
البنية التحتية» والتطبيقات» لتحقيق أقصى الفوائد الممكنة. سيناقش هذا القسم 
أيضاً بناة حواجز متعددة للحماية» وتحديدٌ جهديدات الأمن الداخلية» وتخطيط 
التعامل مع الكوارث في سيناريوهات الحالة الأسوأ. 

لسوءٍ الحظء لا توجدُ خطةٌ معياريةٌ لهيكلة أمن المعلومات تُوسَعُ أو 
تخنضة فى ثلى اجات أ متظمة: شتلك كل متطية متطلياتك محتلنة لأمخ 
المعلومات» وقيود مالية خاصة وامكانيات تحمل مخاطر وموارد تقنية خاصّة 
بها. قد تَضَعْ شركةٌ تجارةٍ إلكترونية صغيرةٍ خطة أمن تكلّفُ مليون دولار لتسدّ 
امنا جاتهاة:. ييتها قد تفن وكالة حكويدة فعفية 100 خيليؤاة دولاو وتيقن تين 
أن هناك نواقصٌ أمن هامة لا تزال بحاجة إلى العلاج. إن موازنة هذه العوامل 
مع توقعات المساهم والزبون هو أمر صعبء كما أن جميع هذه العوامل تتغير 
كثيراً؛ غالباً كل يوم وذلك بسيب: ظهور التهديدات الجديدة. :ولكن على الرغم 
من ذلك هناك بعض الأمور المشتركة بين أغلب منظمات تقنية المعلومات 
تسمح بالاستفادة من أطر عمل «الممارسات الأفضل». 

تُوضَعٌ هياكل أمن المعلومات غالباً تحسباً لتهديدٍ معروفٍ أو وضع 


متوقع. في معظم الحالات» يكون التفكير الإيجابي الفاعل في طيفٍ واسع 
من التسديدانت والمخاطر المحتملة أربحَ من إعداد وتطبيق الحلولٍ المفردة 
التي لا تتعامل بشكل مباشر مع الفرص أو الآثار المرافقة. يأتي الربحٌ الذي 
يَقوق التكاليف هن الاستفادة من تغامد متجموعة عن إجراءات. أمن عديلة 
مثل: جدران النارء وَرُقَع مواءمة نظام التشغيل (2»)05 رأنظينة لكان 
والتفتيش الآلي. والنفاذ الّقائم على الوظيفة» وإدارة موافقات نفاذ متعددة 
المستويات» والبرمجيات الآلية للحماية من الفيروس... الخ. التي قد 
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تتعاضد مع بعضها بعضاً لإبعاد انتهاكات أمن المعليمات :وفتهيا قد :تكون 
طريقةً الحلول المفردة» أي كل مشكلةٍ على حدةء أرخصٌ في البداية» 
ولكنها أغلى بكثير إذا ما اقتضى الأمرُ معالجة مجموعة من المشاكل المختلفة 
للنقاطٍ المفردة للتعامل مع أنواع شئَّى من الاعتداءات» علماً بأن هذه الحال 
قد أصبحت هي القاعدة. 

تشير اعتداءات الديدان والفيروس على نظام مايكروسوفت (ع8ههطء<8) 
خلال السنوات الأربعة الماضية أن امتلاك مقدرة نشيطة وفعالة ومُتكيّفة 
للاستجابة لمتطلبات الحماية كانت أنجحَ من تطبيق طريقة تعالجُ كلَّ مسألةٍ على 
حدة أو استخدام برمجياتٍ مملوكة أو مطورةٍ من قبل المؤسسة. إذ إن 
المنظمات التى تعتمد تقنيات أو عمليات أمن «لكل نقطة على حدة» تضطر إلى 
القيا باستمراز بإعادة التخطيط لعطلياتها وظاقمها التقنى لمواجهة الاغتداءات 
والتهديدات غير المعروفة سابقا التي لم تستطع هذه الطريقة منعها. 

إن الخطوةً الأولى في بناء عملية دفاع قوية هي تحديدٌ التهديداتٍ 
المحتملة» ومصادرهاء وأثرها الإجمالي في المنظمة - وهي فقرات سنأتي على 
شرحها في نموذج مصفوفة التهديد. 
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الفصل الجاس 
النواحي الهيكلية (قضايا العمارة) 


لورنس م. أوليفا 


المقدمة 


يزكر هذا الفضصل على نناء عنمازة المعلومات" ار شيكلنياء جفل :«القضايا 
التى تقتضى التفكيرء وطريقة تناسق إجراءات الأمن» وهندسات البنية التحتية» 
والععل قاف ل الفائدة القصوى» وإنشاء حواجز متعددة للحماية» وتحديد 
تهديدات الأمن الداخلية» والتخطيط للعودة إلى الوضع السوي بعد كارثة في 
سيناريوهات الحالة الأسوأ. 

لكل منظمة خصوصيتها في أمن معلوماتها ومواردها المالية وتحمّلها 
للمخاطر. إن الموازنة بين جميع هذه العوامل مع توقعات الزبون والمساهم أمرٌ 
صعبٌء كما أن جميعَ هذه العوامل تتغير بشكلٍ متكرر. ولكن على الرغم من 
ذلك» ثمة بعض الأمورٌ المشتركة بين أغلب منظمات تقنية المعلومات تسمحٌ 
بالاستفادة من أطر عمل «الممارسات الأفضل). 

تُخلق غالباً هيكليةٌ أمن المعلومات تحسباً لتهديدٍ معروفٍ أو وضع متوقع. 
إذ إن التفكيرٌ والنشاطً الفعّال قبل وقوع الحدث هما غالباً أكثرُ ربحاأً مقارنة 
بتكاليف الحلول المفردة التي لا تتعامل بشكل مباشر مع كل الفرص أو الآثار 
المرافقة. 
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إنشاء مصفوفة التهديد 


يجب على كلّ منظمة أن تقومً بإنشاء مصفوفة التهديد كطريقة لتحديد 
مخاطر أمن المعلومات» والاستعداد لهاء وإدارتها. قد تكون هذه المصفوفة 
بسيطة أو معقدة.ء ولكن مجرد امتلاكها كأداة واستخدامها سيساعد بشكلٍ هائلٍ 
عند حدوث مشكلة خطيرة. يبيّن الجدول التالي نموذجاً معيارياً لهذه المصفوفة : 


مصدر التهديد وقت الاستجابة مقدار أو قيمة الأثر 
ار قرصان فوري عال 
داخلي نوفلت فور عال 
غير معروف إرهابي فوري عال 
احتيال أو تزوير مالي زبون فوري منخفض إلى عال 
حرمان من النفاذ إلى متعدد فوري عال 
المعلومات 
تخريب متعدد يعتمد على النوع منخفض إلى عال 


ثمة حاجة إلى مشاركة الإدارة العليا فى هذه المناقشات والقرارات لتساعد 
على العو اولة قن العو ارا جين قروقي سنا فضي اهيا للوق ان والنكلقةه رت هالا نا 
يتخذ هذا القرار من قبل الطاقم التقني الذي قد لا يكون ملماً بالمنظور الشامل 
للعنظمة» وتيخد غالبا قزارات اعقناد التكلفة من فقتل المجبوعة الى تمول 
قلقة هذه التسسينات الأمبية دوعي قد تيرك الدوائد أى الوحيدات احرف في 
المؤسسة مكشوفة للعودة الأبطأ إلى الوضع السويّ بعد الكارثة. أو في بعض 
الحالات» تتركها مكشوفة أكثر مما سبق نتيجة إلغاء إجراءات الأمن التي كانوا 
يعتقدون أنها موجودة. 

يجب أن تأخدّ الخطهٌ بعين الاعتبار الحاجاتٍ الخاصة لتقنية معلومات 
المنظمة» ولمساهميهاء وزبائنها ومزوديها. فعلى سبيل المثال سوف تعتمد 
المشفى خطة مختلفة تماما عن الجريدة» كما ستكون للمصنع الكيميائي خطة 
تشلف عن تلك المرسومة لجكوطة العدينة: 

كلما تمكنت مصفوفة التهديد من تحديد أكبر عددٍ ممكن من الثغرات 
كانت أفضل» وذلك كي يمكن التعامل مع هذه الثغرات والتقليل من مخاطرها. 
كما أن الإجراءات المضادة للتهديد» التي تتألف من سياسة ومن عناصر تقنية 
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وعملية» هي أيضاً جزءٌ مهمٌ من هذه المصفوفة التي تتطلب الدعم والمشاركة 
من قبل الإدارة التنفيذية. إن تحديد درجة المخاطر من أجل تجنبها أو تخفيفها 
هو غالباً أمرٌ مكلفٌ وصعبٌ. في كلتا الحالتين» التجنب أو التخفيف» قد تدفع 
المنظمة فاتورة غالية جدا مع فوائد قليلة للزبائن والمساهمينء اللهم إلا 
اننضين د الشركة العمل #القاده يكبا تيعد اتكمراة الغ كه رالهها ‏ اموا اإتجابياء 
إلا أن عدمً القدرة على توليد عائدٍ للاستثمار قد يكون عائقاً كبيراً جداً يصعب 
التغلب عليه» خاصة إذا ما تجاوزت التكلفة التقديرات. 


اتفاقياثُ مستوى الخدمة (5.آ98) هى عادةً وثائق تعاقدية تحدَّدُ المستويات 
الكننا لك عن 1 مرضي النقوية الاجعراق »ومن كوس 1 من افيف 
والعاضيوريه ومستويات الأداعء ومستويات القدرات» وبروتوكولاات أمن النفاذ» 
ومجالاتٍ أخرى تهمٌ الزبائن والمزودين ويلتزم الجميع بإتباعها. 

في معظم الحالات» يتوقع الزبائن الذين يدفعون تكلفة النفاذ والخدمات 
أن يعمل النظام 99.999 / من الزمن طوال ال 24 ساعة يومياً.ء وعلى مدار 
الأسبوع» إلا أن مزودي الخدمة يتمنون مستوياتٍ أداء أقل صرامة» خاصةً لأن 
هناك إمكانية تعرضهم لعقوبات مالية عند عدم الوفاء بالآداء المتفق عليه. 

على الرغم من وجود طرق عديدة يمكن اتخاذها من أجل دعم (1.458آ5) 
بمستويات أداء عالية» إلا أن معظم خبراء الحاسوب والأمن سيوافقون على أن 
الطريقة الأبسط والأقل تكلفة هى فى تنسيق أو مواءمة الحاسوب والشبكة 
وهيكلية الأمن ضمن بنية تحتية مشتركة. إن دمج هذه العناصر الثلاثة في بنية 
تحتية مشتركة يسمح بزيادة كبيرة في عائد الأجهزة والموظفين» كما يسمح 
بسيطرة تشغيلية أعظم على عمليات الحوسبة الخاصة بالمنظمة. 

تتضمن الحسنات الأخرى لتنسيق أو مواءمة الهيكلية التالى : 

© أجهزة وعمليات أمن معيارية. 

© نقاط نفاذ للمعلومات من خارج المؤسسة محددة ومراقبة منعاً للاقتحام 
المحظور. 
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© جهود أقل لتدريب الموظفين (بسبب استعمال أجهزة معيارية). 

#اقوزة على تقصيسى المشامل وحلها سينا نظرا إلين أن "المشاكن 
تحدث غالبا 7 الأنظمة ذاتهاء وأن تصحيحاً لإحدى المشاكل قد يصحح 
مشاكل أخرى أحدثت من قبل ذاك الخلل. 

© تحقيقٌ أداء أفضل من خلال تَولِيفٍ العناصر المختلفة مع بعضها البعض 
والذي يؤدي بدوره إلى هيكليةٍ عامة متكاملة ليس فيها نقاط احتكاك مثل: 
برمجيات غير متوافقة من مزودين مختلفين أو شبكات مختلفة مع تشكيلات جدار 
نار واحدء أو مجموعات بيانات تتطلبٌ التقييس وإعادة الصياغة بشكل مستمر. 

© اختصارٌ كبير في الوقتٍ اللازم لدمج تقنياتٍ أو تطبيقاتٍ جديدة في 
منصّةٍ برمجياتٍ معيارية شريطة وجودٍ مجموعة مشتركة من البرمجيات البينية» 
ونقاط نفاذ آمنة ومراقبي أداء. 

تكد الناقيات» مستوى" القدفة4 من منطول الأدار» العتقيد وه وتائق.هامة 
ضرورية الوجودء باعتبارها تحدد مستوى أداء مفروض. إلا أن تكلفة مدة 
تشغيل «التسعات الخمس» (99.999) قد تتجاوز الميزانية المرصودةً من المنظمة. 
من جهة أخرىء عادةً ما يستهان بتكلفة إدارة اتفاقية مستوى الخدمة (4.آ58) 
خلال المفاوضات التعاقدية مع الزبون» رغم أنها تشملٌ نفقاتٍ مثل: اجتماعات 
إدارية متكررة لمناقشة القضاياء وقياس مستمر لمؤشرات النظام وجمعهاء 
وارتفاع الغرامات المالية غير الصحيحة» والمناقشات حول من الذي أو ما الذي 
سبب حدوث المشكلات. فى حالة المنظمات الضخمة وباعتماد مستوى أداء 
زمني في 2 5500 الخمس»» تقدر التكاليف غالباً ب 250,000 
دولار سنوياء بما في ذلك تكلفة الوقت الإداري التنفيذي. 

تتضمن طرق تخفيض هذه التكلفة ما يلي: 

© إنقاص اتفاقية مستوى الخدمة (1.4آ8) إلى مستوى أداء 99.99 / أو 99.9/ - 
أو 99.9/ - إذ إن الانتقال من مستوى مدة تشغيل 99.99 / إلى مستوى مدة تشغيل 
تشغيل 99.9 / يؤدي إلى فرق 7.7 ساعات إضافية كل سنة (إلى إجمالى 8.8 
ساعة) على أساس 24 ساعة على مدار الأسبوع. ْ 

© ترتيب الخدمات حسب أهميتها في أن تحظى بعدم الانقطاع «أيٌٍّ 
خدماتٍ يجب أن تَشْتَغِلَ 99.999 / زمنياً» مثل جدران نار الشبكة وأنظمة 
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الأمن. وأي لخدمات يمكن أن تتوقف عن العمل لمدة ثمانى إلى عشر ساعات 
كين اللفياة مكل كراسي المشرفعات: والفاة إلى التجاسرب الدركرق. 

© كتابة (58.آ5) «مرنة» أو قابلة للتعديل حسب حاجات الشركة أو 
المنظمة. على سبيل المثال: تحتاج شركات بيع التجزئة عادةً إلى مدة تشغيل 
0 لمعالجة البيانات أثناء فصل عيد الميلاد» ولكنها قد تقبل مدة تشغيل 
9 بقية السنة وتدفع بذلك تكلفة عقود (4.آ5) أقل» وكما يأتي: 


النسبة المئوية لمدة جاهزية النظام ساعات كل سنة 
(247) 100 8000 
ادنك 9ؤ| 
5229 لزه 
529 2آ]/ 
520 #0004 


إنشاء حواجز حماية متعددة الطبقات 

تين أنظمة: مق المعلويناك الأكعر فخالية فى لفاك حمانة "متجددة. لإقافة 
حاجز مستمر ضد أنواع عديدة ومختلفة من الاعتداءات» وهذه البنى بانتشار 
متزايد. في حالة المنظمات الضخمة التي ترتبط ببوابات متعددة مع الشبكة 
العامة» وبنقاط نفاذ لاتصال الموظف» وبشبكات دعم سلسلة التزويد» يتطلتٌ 
القيامُ بتطوير حواجز أمنية متعدد المستويات عادة عدة ملايين من الدولارات 
للهندسة» والشراء» والتوظيف» والاستثمار التشغيلى. 

تتضمئنٌ الطرقٌ التقنية النموذجية لإنشاء نظام أمن متعدد المستويات : 

© «مستوى أساس»: هو حد أدنى من المعلوماتية يقدمها المستخدم لأجل 
النفاذ (كأنْ تكون كلمة سر مشتركة غير معروفة علانية). 

© طبقة ثانية: تُحدد الحاسوب المستعمل للنفاذ إلى الشبكة فتسمح له أو 
تمنعه من النفاذ (من خلال الملف النصى «00116ه» أو أمارة الهوية). 

© طبقة ثالثة: تُقصِرٌ النفاذ على المستخدمين «المعروفين» فقط (أي 
بدون مشاركة مع أشخاص آحرين). 
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© طبقة رابعة: تمنع إلى حد أبعد وصول الحاسوب أو المستخدم إذا لم 
يعط إجابات صحيحة عن «سؤال التحدي» الذي يملكه ذاك الحاسوب أو 
المستخدم فقط. يستطيع الحاسوب تزويد المفتاح المُعمّى الذي أرسل له آخر 
مرة انّصلَ فيها بالشبكة وسيّسأل المستخدم عن كلمة مروره الأخيرة. 

© طبقة خامسة: يُتطلب من المستخدم توفير مميزاً بيولوجياً قابلآً للتحري مثل 
بصمة إصبعه» أو بصمة صوته» أو سمة وجهه. أو فحص شبكة عينه أو إمضائه 
(توقيعه). إن واحداً ‏ أو مجموعة مؤلفة من اثنين ‏ من هذه العوامل ستشكل مستوى 
عالياً جداً من الثقة بأن الشخص الذي يريد النفاذ هو حقاً الشخص الصحيح. 

من وجهة نظر الإدارة العلياء إن جميع هذه الإجراءات الوقائية تكلف 
الكثير من المال مع القليل من الفائدة الواضحة أو العائد الملموس إلى المنظمة. 
إلا أن تكلفة عدم حماية أصول المعلومات والأنظمة والشبكات من الاعتداء 
الخبيث قد تكون هائلةً وفقاً للإحصاءات التى أجريت من قبل منظماتٍ مختلفة 
حكومية وخاصة (فى صيف 2003. عانت الشركات الخاصة خسارة تزيد على 
5 بليون دولار للتعافى من الديدان والفيروسات ([078121,2003]). وحتى لو 
قَدَّرنا أن هذه الإحصاءات عالية وخفضنا خمسها (أي: 20 /) فمن الواضح أن 
التكاليف المالية المتراكمة تبقى ضخمة جداً. 


إذا كب رفظ جميعٌ هذه المعلومات في بناء حواجز متعددة الستويات؟ 
يجب أن تَفححَصَ كل منظمة قيمةَ أصولٍ معلوماتها واتطنيعها وتتعدد .مقداة 
الاشعيان المحتول نه اع تحماقهاء فو دطالة المنطييات الفعيوف فك ركون 
عسة الاستثمان. متشقيية جد رتعقمد على مودي عخدطة من شرك اخرى 
لتقديم مرشحات الشبكة لمنع الديدان والفيروسات» مع مستوى أو اثنين للتحقق 
من هوية المستخدم. 

فيما يتعلق بالمنظمة المتوسطة إلى الضخمة التى تمتلك مئات أو آلاف 
الحواسيب والمستخدمين» فإن حساب عدد وأنواع الخواجد والأنظمة الاحتياطية 
التي يجب شراؤهاء قد يتطلبُ عِدَّةَ أشهر وفريقاً من الخبراء المكرسين للأمن 
اللحفرة بعناية سياسات المستخدم ولخي الموجودة. حالما يتم تحديد 
التكاليف» تستطيع الإدارة العليا والمدراءٌ التنفيذيون اتخاذ قرار تجاري بشأن 
النفقات. وجداول الأعمال» والسياسات» وتقنيات التطبيق المعقولة المتعلقة 
بأصول معلوماتهم» وبموظفيهم» وزبائنهم» ومزوديهم ومساهميهم. 
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كشف المهددات الداخلية لعمليات أمن تقنية المعلومات 


تشير جميع تقارير أمن المعلومات فعلياً إلى أن التهديد الأعظم لأصول 
المعلومات يأتي من داخل المنظمة. لقد طوّرٌَ مهندسو التجهيزات تقنياتِ تسمحٌ 
للمستخدمين وللأنظمة بنقل كميات ضخمة من المعلومات وحفظها بسرعة وسهولة 
ووختمن. فى العديذ من الحالات6 :لا يويغد سجل (يذعى آيضا #سجل الأهداث)) 
يقومُ بتسجيل حدوث نسخ معلومات أو نقلها إلى نظام المستخدم أو أداة تخزينه 
مثل ذاكرة تخزين المعلومات (51858) أو ذاكرة القرص المدمج (0101/1). فقد 
الأساسية للمنظمة وتؤخذ خارج البناء في بضع دقائق. وإذا ما تمكن موظفٌ ما 
من النفاذ إلى الملفات من خلال وصله مع الشبكة العامة» فإن المعلومات قد 
ُحَمّل على حاسوب آخر يبعد مسافة 0 ميل من الشركة. 

كيف يمكن تحديد التهديدات الداخلية المحتملة وإحباطها بدون تطبيق طرائق 
نفاذ شديدة القسوة تُقَلْلَ من إنتاجية المستخدم وتنقص من معنويات الموظف؟ 

أولاً: اضمن وجود سياسة فكقوية لمم اتوتعات الإدارة بخصوص 
استخدام الشركة والاستخدام الشخصي للشبكات والأنظمة والمعلومات. ومن 
النقاطٍ الجوهرية في هذا المقام أن تُحرّمَ مشاركة كلمة سر المستخدم أو أمارات 
التحقق من الهوية بين المستخدمين. ينبغى أن تشتمل السياسة على عقوبات 
رسمية على سوء استخدام أصول معلومات المنظمة وأنظمتها. 

ثانياً: اجعل جميع الموظفين يعترفون بأنهم قد تلقوا نسخة من السياسة. من 
الممكن القيام بذلك من خلال البريد الالكتروني أو أداة جمع البيانات عبر الشبكة. 

تالكا يشما علق بقواضة: النياناث واصول السخلومات الأكثر أهميةه جع 
مهندسي أمن المعلومات والمهندسين التقنيين يُفْعَلونَ إجراءات مراقبة دخولٍ 
البيانات وأنظمة المعلومات الهامة وما هى المدة التى استمر بها هذا الدخول» 
يجب أن تتم مقارنة هذه المعلومات بلائحة المستخدمين الذين يسمح لهم 
بالدخول. ويجب حذف أسماء جميع الأشخاص الآخرين من قوائم الدخول. 

رابعاً: يجب أن يراقب مهندسو أمن المعلومات أيّ تنقلاتِ مشبوهة 
لملفات معلومات كبيرة عبر جدران النار للمنظمة» وذلك كجزءٍ من نشاطات 
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مراقبة الشبكة. عادةً) تقل الملفات الكبيرة على وتيرة واحدة ووفقٌ جدولٍ زمني 
نموذجي معروف. تتضمن الأمثلة على أنواع الملفات هذه سجلات الحساب» 
والملفأت المالية» وسجلات مخزون المزودين والصور الرقمية. يستطيع 
المهندسون أن يحددوا مالكي معظم هذه الملفات بسرعة ويثبتوا شرعيتهم. 
يتخب أن سحن بدقة حي 07 الملفات ا 007 دك 507 
إل المخا شت لمكيو يه 0 رمع 1 2 يوم من كل ل هو 
وضع منطقيء أما حاسوب التسويق الذي يرسل ملفاً بحجم 100 ميغا بايت 
باتحاء مات الراك والتواريت: القترافية' إلى حاسوت المرظف المتولي غير 
واحدة في السنوات العشر الماضية قد يسترعي الانتباه والتدقيق. 

على الرغم من أن أغلب سرقات المعلومات تحدث داخلياًء إلا أن الغالبية 
العظمى من الموظفين صادقون» ويفعلون أقصى ما لديهم لحماية معلومات 
الفتركةه اذاه لخدن رس لادان (الاتنداءة الدع المنظية ؟ الع يسييهنا اختران 
واحدٌ فقط لأمن المعلومات» مثل الذي حصل للمؤسسة الأمريكية للرعاية 
الصحية (2003 ,ععاقطء0) ععصة11لى عزهوعط)1دع11 6ؤوعء1111777. والإساءة للمنتجات مثل 
ركع رح الس لمحن وري ايا 01001 امروب 111511 ااي 
الإنترنت في شباط/ فبراير 4 (2004 ,ع7111582017) 2 ذ فمن المنطقي عندئذ أن تسعى 
الإدارة العليا والمدراء التنفيذيون إلى الإقلال من فرص حدوث السرقة». فضمان 
تمتع الأشخاص الشرعيين بالنفاذ الصحيح إلى المعلومات التي يحتاجونها للقيام 
بعملهم» والتحقق بعد ذلك من الأوضاع غير الاعتيادية ‏ التي قد تكون شرعية - 
يساعد على تقليل مخاطر حدوث السرقة غير المعروفة أو سوء الاستخدام. 


هل التخطيط للعودة إلى الوضع السّوي بعد الكارثة أمر مهم؟ 

أجل وذلت من أخل اشعدراز عكلياك الشركة بعة أن اذ عدت وقيسى غين 
تيخطظ' له شن العتليا كت السوغرية الشركة ار الساشوكة إنه القن على عراز 
عكيات كد الزبون أو توليد العائد هي غالباً هدفٌ رسميٌ هامٌ لكل من المنظمة 
وزبائنها. ستاخد عودة عمليات الشتركة؛ إلى المستوئ: الطبيعي .وقناً أطول» 
وستكدفٌ أكثر مما هو متوقع بكثير» إذا لم يكن هناك خطة رسمية جاهزةً عند 
حدوث الأزمة والاضطراب. يرجع م هذا بشكل كبير إلى عذةٍ أسباب مثل : الإمداد 
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والتموين» والتعامل مع المزودين والشركاء» وانتظار وصول الأجهزة والموارد 
المطلوبة من أجل المساعدة» الاعتماد على خطة عودة إلى الوضع السوي بعد 
الكارثة قاتمة على افتراضات أو معلومات غير كاملة أو غير واقعية. 


في معظم | الحالاات» امقطيط التعامل مع الكارثة من القدرات والأجهزة 
الموجودة» وَيُعَلْلَ بالتالى من نفقة الاستثمار» إذ تشاتك أجهزةٌ الاستعادة وأنظمثها 
مع أنظمة الإنتاج فى إنقاص الوقت اللازم لتطبيقها فى حال الطوارئ» بالإضافة 
إلى تفعيل إجراءات وسياسات الأمن المطلوبة لتعمل بشكل فعال. 


إن عمليات الأمن جزءٌ من جهود التخطيط للعودة إلى الوضع السوي بعد 
الكازثة» فتقل سجلات" الزبيون» وسجلات الحروديق: والمعلويات الخاضة 
بالشركة» يجب أن يجري بدون خطأ لتفادي أي توقف فى عمليات الشركة أو 
ضياع الثقة خلال وقوع عدت غين امقبادي. :قبا يققى: ببق تحط التدريين 
وأنشطتها كي تلائم الحالات المقبولة منطقياء مع تدريبات تجريبية لجميع 
المشاركين لاكتشاف نقاط الضعف التي تتطلب التحسين والاستثمار. 

يحتاجُ كبارُ المدراء إلى المشاركة في جلسات التخطيط هذه وفي 
النشاطات التدريبية والتجريبية ليعطوا الاقتراحات» والنقد»ء والوضوح لجميع 
أعضاء فرق الاستعادة والأمن. إن فهم «الأبعاد العامة والكبرى) لكل من 
الاستثمار والأثر يعطي منظوراً مختلفاً عن التركيز التقني أو التشغيلي قل 
وهذا يؤدي غالباً إلى تحسيناتٍ قد تُغفل إذا لم يحصل هذا الفهم. 

إن تخطيط العودة إلى الوضع السوي بعد الكارثة هو عملية غالية وبالغة 
الأهمية. إنه يفترض ظهورَ سيناريوهات صعبة جداً تتطلبُ المهارات الإدارية 
الأساسية الأربع نفسها التي ذكردثت سابقاً في هذا القسم ‏ المسؤولية» والنزاهة» 
والثقة» والأخلاق - لتنقّدَ بنجاح. 


الخلاصة 


يجب أن 0 عور 0 المعلومات على تهديدات الشركة» 
الحالاات» 0 او سطع ا تو سيع 0 العامة له ف لحاطات 
التخطيط اللسوكمة المفضلة بقن القسم السابق. ترك ميكلية أمن:المعلومات؛ على 
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متطلبات الشركة الواجب دعمهاء بالإضافة إلى تحديد وهندسة التكرار فى 
النظم» والمرونة التشغيلية» والبنية التحتية القوية (لاحظ الجدول أدناه). 


0 مخططو الأمن عالمَ «ماذا لو» إلى عالم «١كيف»‏ مع التقيد بحدود 
الميزانية» وجدول الأعمالٍ» والمقدرة التقنية» وذلك من خلال حياكتهم لثلاث 
ضفائر مع بعضها البعض وهي العملية والموارد والتقنية. قد يقولٌ البعض إن تحدي 
التخطيط أمرٌ صعبٌ» خاصة إذا أخذنا بعين الاعتبار الالتباسّ في نوع التهديدات» 
والمكان الذي قد تصدر منه» والأثر الذي قد تسببه. في بعض الحالات يكون ذلك 
سحيهاء وهداايتطلت العردة إلى الأهدات والاشترا فاط لايخ أجل إعادة 
إثبات صحتهاء أما فى القضايا الأخرى فإن التخطيط التنظيمى البينى» والتفكير 
الجادء هما الطريقة الوحيدة للتغلب على التحديات بنجاح. 00 


الممارسة الأفضل (المثل) 


22 سورفة الفيدين 
الحالية إزاء الافتراضات 
الراهنة وتحقق من صحتها 


تحقّق من أن جميع الهندسات 


اتفاقيات مستوى الأداء 
(دشآ5) القائمة 

تففّد حواجز الأمن الحالية 
لضمان أنها تقدم حماية 
معقولةإزاءالمخاطر 
المتواجدة حديثاً 
تفقّدججميع العمليات 
المتعلقة بحماية موارد تقنية 
المعلومات من الضرر أو 
الاعتداء الداخلى 

خطط العودة إلى الوضع 
السوي بعد الكارثة 
موجودة وقابلة للتطبيق 


الحساسية 


عالية 


عالية 


التكرار 


فصلياً (كل 
ثلاثة أشهر) 


ستة أشهر 
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الملشاركون 


الإدارة» أمن 
المعلومات» 
عمليات (تقنية 
المعلومات)» المالية 
الإدارة» أمن 
المعلومات» 
عمليات (تقنية 
المعلومات) 
الإدارة» أمن 
المعلومات» 
عمليات (تقنية 
المعلومات) 
الإدارة» أمن 
المعلومات» 
عمليات (تقنية 
المعلومات)» المالية 


نتائج النشاط 
وجود مصفوفة تهديد حية 
ودقيقة للتخطيط الفاعل أو 
الإيجابي لردود الأفعال إزاء 
ْ التهديد 
الاستفادة القصوى من 
عمليات وموارد تقنية 


المعلومات 


إجراءات وتمارسات أمن 
دفاعية ضد المخاطر الحالية 


أضرار أو مخاطر مخففة من 
مصادر الاعتداء الداخلى 


خطة عودة إلى الوضع 
السوي بعد الكارثة قابلة 
لنتفيذ تقلل من الأثر في 

الموظفين» والزبائن» 

والمساهمين » والإدارة 


القسم الثالت 


قضايا التقنية 


نظرة شاملة على القسم 
يستعرضٌ هذا القسم عدَةَ تقنياتٍ هامة في أمن المعلومات لكل منظمة 
تمتلك أنظمة معلومات. كُتبَ هذا القسم لإعطاء الإدارة العليا والمدراء 
التنفيذيين» الذين يتمتعون بمعرفة بعض نواحي التقنية ولكنهم ليسوا بخبراء. 
نظرات شاملة حول حماية أنظمة تشغيل الحاسوبء والشبكات اللاسلكية 
المحلية الداخلية (4315.آ): وتقادم البيانات مع الزمن» وتخزين البيانات 
واستعادتهاء والبنية التحتية للمفتاح العام (التعمية/ الشفرة)» والمميزات 

البيولوجية للإنسان (لتَعَرّفٍِ هويته)» والبطاقات الذكية. 


يهدفٌ القسم أيضاً إلى عرض التقنيات المقبولة» وواسعة الانتشار في 
السوق» والمفيدة لمهندسى أمن المعلومات والإدارة العليا والمدراء التنفيذيين 


عند إعدادهم خطط المواردٍ والميزانيات. 
الاستراتيجية الإجمالية 


عند الأخذ بالحسبان الأهداف والتقنيات والطرق المتعددة المستخدمة من 
قبل القراصنة» ومخترقي نظم المعلومات» والمراهقين» والموظفين للنفاذ غير 
المشروع إلى أصول المعلومات» فإن الإستراتيجية الإدارية لإحباط جهودهم 
تتطلبٌُ أيضا تبنّى مقاربات متعددة. تلعب التقنية» بوصفها حاضرة ومتوفرة 
دوماًء دوراً 500 في العمل آلياً على: كشف. وإيقاف» وتعيين مكانء 
وتحديد نوع» وتسجيلء النفاذ الاختراقي غير المسموح به إلى شبكات 
وأنظمة المعلومات. 

تقدم أنظمة التقنية» إذا ما جرى اختيارهاء وتنصيبهاء وتشكيلهاء بشكلٍ 
ملائم؛ دعماً طوال 24 ساعة على مدار الأسبوع إلى خبراء أمن المعلومات 


125 


النهائية المتعلقة بالاقتحامات. أو بإخفاق الأجهزة» أو بخطاإ البرمجيات» أو 
فشل اختبارات الأمن المخططة. بشكل عام» تصنف الحواجز التقنية لتحقيق أمن 
المعلومات إلى: 

© حماية البنية التحتية: وهي قاعدةٌ المستوى الرئيسي الذي يسمحٌ 
لسعويات: الأمن الأعلى العمل والتواضل معا. 

© حماية برمجيات التطبيقات ونظام التشغيل: حماية برمجيات التطبيقات 
ونظام التشغيل من التغييرات والتعديلات غير المباحة» وذلك عن طريق إزالة 
البرمجيات غير الضرورية» وحصر إجراء جميع التغيرات على إدارة النظام في 
ظل عمليات إدارة البنية. 

« نَفْخُص التجهيزات وتثبيت هويتها: التحقق من وجود هوية مؤكدة لكل 
التجهيزات الحاسوبية على شكل رموز مسجلة فى مكونات هذه التجهيزات» لا 
يمكن تغيرها بسهولة أو برخص» وتستخدم في إجراءات التحقق من المستخدم 
وفي الرقابة. 

© تخطيط تقادم البيانات وإدارتها: يضمن أن البيانات التي جمعت على 
مدار سنوات عديدة وخزنت» يمكن قراءتها واستخدامها بنجاح» على الرغم من 
التغييرات في الأداءء وفي المعايير التقنية. 

© بروتوكولات التخزين الاحتياطي والاستعادة منها: يخوَّلٌ النسخ الدقيق 
للمعلومات المستخدمة حالياً» من أجل استعمالها من قبل المنظمة إذا ما حدث 
إخفاق غير قابل للاسترداد لمكونات الحاسوب الصلبة (التجهيزات). 

© الطرق المباحة للنفاذ إلى النظام : تقدم مستويات عديدة من التحقق من 
هوية المستخدم» وتهدف إلى ضمان أن الأشخاص والأنظمة المسموح لهم فقط 
هم من يستطيع النفاذ إلى المعلومات والشبكات. 

© نَفخْصٌ نظام الأمن: يتأكد من أن أنظمة الأمن تعمل» كما هو مخطط 

تقدمٌ البرمجياثُ والتجهيزاث» عندما تطبق على أساس متين من الهيكلية 
والحوكمة» حمايةً قوية من التهديدات المتعددة داخل وخارج المنظمة. لا يوجد 
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بالطبع «حل كامل» لمسألة أمن المعلومات. إن الأسواق المتعلقة بالحاسوب 
والاتصالات هي أسواق إبداعيةٌ وديناميكيةٌ وتخضمٌُ لعوامل السوق بشكل 
كبيرء لذلك فهي لا تقبلٌ معايبر صارمة كالتي تفرضها المقارباث الشديدةٌ غير 
اموق 
حماية البنية التحتية 

البنيةٌ التحتيةٌ الحاسوبية» في أغلب المنظمات؛» هي العصبُ الرئيسي 
للتواصل ولتقديم الخدمات؛ وتشتمل على عناصر مثل: تشغيلٍ الشبكة» ونقلٍ 
البيانات الكترونياً» ومكاملة نظم البرمجيات المشتراة جاهزة من مزودين 
مختلفين 0015» وخدمات اسم النطاق (0215)» ودليل خدمات الشركة (كلمة 
سر واحدة عبر جميع الأنظمة) وعملياتٍ الدعم المستمرة. يتضمئنٌ أمنُ البنية 
العععة كل من المنوانة الفنداقة العكينوات. الساشوية ركد المتسلوماتت» 
ومكتباتٍ البيانات» وأنظمة حفظ وأرشفة المعلومات على الأشرطة والأقراصء» 
ونقاط النفاذ الاحتياطية الإضافية للشبكة لتلافيى حدوث أيٍّ فشل جرّاء وجود 
تنطة ولعو فق فزني إقيادة :إلى الاق ادر عورا ليه ميلاقا 
لضمان استمرار العمليات في حال انقطاع الطاقة الكهربائية العامة بسبب 
إخفاقات شبكة الطاقة أو مشاكل متعلقة بالطقس. 

إن حماية البنية التحتية الفيزيائية نشاطً تقليديٌ في (تقنية المعلومات) وقد 
تم تحقيقه بنجاح؛ إذ توجد تقارير قليلةً جداً حول مراكز معلوماتٍ تعرّضت 
للاعتداء الفيزيائي من قبل إرهابيين أو مقتحمين» وتوجد تقارير أقل عن حدوث 
سرقاتٍ مادية. لقد كان موظفو الشركة» وفقاً للتقارير المنشورة» وراء جميع 
الموقات دقن واخل راكد المعلومات؟ 
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الفصل الساوس 


أمن المعلومات اللاساكية 


كليفتون بوول 


جامعة الدفاع الوطني» الولايات المتحدة الأمريكية 


المقدمة 


لقد ازداد انتشارٌ الشبكات المحلية اللاسلكية في العمل وفي المنزل بشكل 
مفاجئ ف صوق المعراف العديدة المافية بطر إلى ظهون المرتركول 
(802.11) كمعيار معتمدٍ من أجل الاتصالات اللاسلكية (2002 بطهلة81-5). 
تتوفرٌ الآنَّ متكترعة عن فهات الشبكة اللاسلكية لإقامة شبكة منزلك أو عملك 
اللاسلكية. لقد تتضاعفء منذ عام 2001م» اعتماد الشبكة اللاسلكية في الاستخدام 
المنزلي عشرة أضعاف. ويوجد الآنَ أقسامٌ كاملةً في محلاتٍ بيع إلكترونياتِ 
المستهلك مكرسة لبيع المنتجات الخاصة بمكتب العمل أو المنزل (50110). 

تَستَخدِمٌ الآنَ العديدٌُ من الشركات الشبكاتٍ المحليةً (1.8309آ) اللاسلكية 
كطرقي النفاذٍ المفضلة ضمن منشآتهم» وذلك بسبب سهولة إنشائها وتمديدها 
وتنصيبها وصيانتها ونقلها من مكان إلى آخر (2002 ,41-58165). يتطلب تغيير 
الشبكة باستخدام التقنية اللاسلكية تعديلات قليلة للمحيط المادي. إن استخدامَ 
الوشاكل اللاسلكية لبعاء الشيكة مع إصواء تومعة تطويزية كير عدن تويعة 
الشبكة الحاسوبية أو النظم الإلكترونية الأخرى» أمراً يسيراً. يتمتعٌ مستخدمُ 
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الحاسوب المحمولٍ بحرية التجؤّلٍ هنا وهناك في مؤسسته مع الاحتفاظ بالنفاذ 
إلى الإنترنت وإلى باقي الشبكة. إن الحل اللاسلكيّ هو أكثر امتيازاً من تمديد 
شبكة (عمععطا8) السبلكية عندما تكون الجر اقبت بعيدة عن تعقيها عفنا 
ويكون المستخدمون بحاجة إلى النفاذ إلى الشبكة. 


هناك نوعان من الشبكات المتوفْرةٍ للمستخدم اللاسلكي: شبكة الحاسوب 
الداخلية (577.آ) اللاسلكية (7/1.477) الخاصة و تلك المفتوحة. تكون أغلب 
الشبكات الداخلية اللاسلكية (17/1.471) مرئية للمستخدمين كافة» ولكنها تتطلب 
درجات متعددة من التحقق من الهوية لإحراز النفاذ إليها. تقترن عادة الشبكات 
الداخلية اللاسلكية (7/1.531) الخاصة بالمؤسسات التجارية الضخمة» وتصمم 
بشكل يتطلب من المستخدمين إثبات الهوية للنفاذ إلى الشبكة. يتطلب نوع 
الشبكات الخاصة استخدام مفتاح مشترك للتحقق من هوية المستخدمء كما يُقَلْل 
عدد المداخل اللاسلكية لشبكة المؤسسة. إن العديد من تطبيقات (50110) 
تتحركٌ باتجاه هذا النموذج لأنّهُ يوفرٌُ لها مستوىئ أعلى من التأمين لبياناتها. لا 
يتطلب نموذج التحقق من الو النظام المفتوح أي تحقق من الهوية 
لإحراز النفاذ إلى الشبكة. إذ يبيحٌ مالك الشبكة لأيٌّ مستخدم قريب من الإشارة 
النفادٌ إلى مصادر الشبكة المتوفرة. في معظم الحالات» يكون هذا سهلا كسهولة 
الاتصال بالإنترنت واسع النطاق. يوجد العديد من الشبكات التي تمنح» عن 
غير علمء نفاذ المستخدمين لمصادرهاء لأن نقاطً النفاذ إليها مُشّكلة أو مُدارة 
بشكلٍ غير ملائم. 

إن العددَ غير المحدود للمنتجات والمصطلحات يجعل فهمٌ الأمر صعباًء 
ما هو اللاسلكى». وكيف يمكنه تغيير نظرتك إلى الأمور المتعلقة بالشبكة. يسلط 
34 الفصيل الصو ة غيلى: الميكرر اضم .و المعقيذا يك بر العقانةا ال حيط (بوكو كول 
8091119) ,وسكوره قبا ذل يعن اللنطيال عات اتلك الى اش دمر 
شبكات (411.آ/)» وبعضاً من الممارسات القادمة والاستثنائية فى مجالهاء 
وثغرات هذه الشبكات واستراتيجيات أمنها. ْ 

تعاريف 


8 


إن المعياة (602116 عي امقاة للمجيان (1802:11الدى بطي على 
الشبكاف المخلية (819) اللاسلكية ؛ :ويحده سترطة تدفق المعلوماف فنه ن1 1 
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(802.115) بوظائف شبكة لاسلكية تكافئ تلك التي يسمح بها المعيار 
(866266) للشبكة السلكية. إن المعيار (802.11) هو مجموعة من المواصفات 
المطورة من قبل معهد المهندسين الكهربائيين والالكترونيين (181517) من أجل 
تقنية (ل1شلآ) اللاسلكية. 

نقطة" العفاذ '(ظم):- هن جهاذ حاسويق أو يرتجيات حاسوتب تعسل 
كنقطة تَجمُع لمستخدمي أجهزة لاسلكية كي يتصلوا بشبكة (2ش.آ) السلكية. 
إن نقاط النفاذ مهمة من أجل توفير أمن معلوماتٍ لاسلكي قوي وتوسيع 
نطاقي الخدمة للمستخدم اللاسلكي. يدعى هذا أحياناً «البقعة الساخنة) 
اللاسلكية. 

© مُعرّف مجموعة الخدمة (5512): هو المعرّفُ الأوحدُ المخصصٌ لجميع 
تقاظ التفاز فى الشتككة المضلية اللاسلكية #تانة 8 فعدها اول 
خياة (الكعروية' تقال الأتسيال شقطة النقاف فإن مها مو لنا من 32 هدزنا وفيت 
دور كلمة سر تمنع المستخدمين المحظورين من النفاذ الئ الشبكة. 

ف ااتخفِوضِية المكافية الفتكات اللستلقفية (ترد )مسو برفوكول أن 
معلوماتٍ للشبكات المحلية اللاسلكية المحدد في معيار (802.115). يستخدم 
(7/85) في أخفض طبقتين من نموذج الاتصالات المعروف  )051(‏ طبقة 
ارتباط البيانات والطبقة الفيزيائى أو المادية» لذلك فهذا البروتوكول ليس أمنٌّ 
من النوع «من نهاية إلى نهاية». تقوم (19157) بتوفير أمن المعلومات عن طريق 
تعمية البياناتِ عبرّ الموجاتٍ اللاسلكية كي تكون محميةً أثناء انتقالها من نقطة 
إلى أخرى. 

© (18/1-81) هو اختصارٌ ل بتاعا ووولء:1لا أو الإخلاصٌ لاسلكيً' 
وهو اسمٌ آخر للمعيار (802.115 1888). إنه مصطلحٌ تجاريٌ”* يستخدمٌ بدلاً 
من (802.116) وبنفس الطريقة التي يستخدم فيها مصطلح (اع0تعطا8) بدلا من 
(802.3 181818) . 


» شبكة الحاسوب المحلية اللاسلكية (18/1.471): هي نوع من أنواع 


(*) أطلقّ من قبل .عع طقتااك نوانائط تاه مصطه© أعمعع طاظ ووعاء 1171 
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شبكاتٍ الحاسوب المحلية التي تَسِبَخْدِمُ موجاتٍ لاسلكية عالية التردد بدلا من 
الأسلاك لتنّصلَ بين العقد. انتشرت شبكات (471.آ8) أو 11/1-5 في الاستخدام 
الخصوصي داخل المنزل أو الشركة أو في الأماكن العامة. 

© النفاذ المحمى ل (181-5118248): هى مواصفاتٌ قائمةً على 
معايير تحسين أمن البيعلويياك تيد بقوة 000 حماية البيانات والتحكم 
بالنفاذ لأنظمة 1.4727 اللاسلكية الموجودة حالياً والمستقبلية. وُْضِعًَت 
المواصفة (8784) لتقدمَ تعميةً محسنةً للبيانات ولتوفْرَ التحقق من هوية 
المستخدم ( 2003 981-51). 


كيف تعمل شبكة 487]) اللاسلكية 


ينحدة معياز (802.115) طزيقتين: طريقة البئية. التحنية»: وطريقة «حست 
الحاجة». تتألف الشبكة اللاسلكية فى طريقة البنية التحتية من نقطة نفاذ واحدة 
على الأقل شتهيا اله لفحب السيكة السلكة) سيوف من عطاك 
لاسلكية. يدعى هذا التكوينٌ أو الهيكلٌ مجموعة الخدمة الأساسية عزوة8 (855) 
564 56207106 (الشكل 1)» وتختص كل مجموعة خدمة أساسية (855) بمعرّفٍ 
مجموعة الخدمة (88510). إن مجموعة الخدمة الموسعة (8658) هئ مجموعة من 
لعي اا كك زود وهات الهدية الأماسية 80م تكله بذ لك شك كاتوية 
واحدةً تشترك في (5512). 


ونظراً إلى أن أغلبَ الشبكات اللاسلكية للشركات (17/1.4715) تتطلبٌُ النفاذً 
إلى شبكة (لش.8ة) السلكية للوصول إلى الخدمات (مخدمي الملفء 
والطابعات» وروابط الإنترنت)» فإنها ستعمل ضمن نموذج البنية التحتية. تغطي 
نقاط النفاذ عادةً مسافة 300 إلى 0 قدمء ويختلف عددها لتشكيل .آلا 
وفق طريقة البنية التحتية تبعاً للأمور التالية: مساحة المنطقة المطلوب تغطيتهاء 
وتشكيل الشبكة» والحدود الفيزيائية لمناطق التغطية» وعدد المستخدمين لكل 
جزء منها (الشكل 2). 

إن الطريقة الثانية أي طريقة «حسب الحاجة»». تدعى أيضاً طريقة المثيل 
للمثيل» أو مجموعة الخدمة الرئيسية المستقلة (1855)» هي ببساطة و 
من محطاتٍ لاسلكية وفق المعيار (802.11) تتصل بشكل مباشر مع بعضها 
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بعضاً بدون استخدام نقطة نفاذ أو أي اتصال بالشبكة السلكية. 


مجموعات الخدمة الأساسية والموسعة 


مجموعة الخدمة الأساسية (855) 


مجموعة الخدمة الموسعة (555) 


الشكل (1). 


الشبكة اللاسلكية التصورية 


المساعد التتخصي الرقمى 
- بكة “ولوقوت>- 


الشكل (2). 
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إن هذه الطريقة مفيدةٌ فى حالات الحاجة لإنشاء شبكة لاسلكية بسرعة 
وسهولة في مكانٍ لآ مود فيه ينية صتفية لانتلكية + أن تكو فمه شين ضرووية 
لتقديم التقدماتك مثل: صفوف التعليم» وغرف الاجتماعات» والمطار» أو حيث 
يكون الوصول إلى الشبكة السلكية متعذراً (مثل المستشارين في موقع الزبائن). 
تعمل طريقة (1858) جيداً في غرفة الصف من أجل مشاركة الملفات بين أعضاء 
فريق المشروع أو إحالة العمل المنجز إلى الملف المركزي على حاسوب المعلم. 

للاستفادة من المعيار (802.116) في أي من الطريقتين المذكورتين يتوجب 
عليك أن تقتنيّ في جهازك بطاقة الربط 2 شبكة اللاسلكية ععهة11عام]1 11ماعلا 
©011 4نهمء تُنَصّبُ بطاقةٌ (8/10) في شق البطاقة الصغيرة في الحاسوب 
(0021014).: وثُبرمجٌ للاستخدام مع شبكة (1801.471): وتأتي الحواسيبُ 
الحديثةٌ مجهزةً بهذه البطاقة (71-51) كجزءٍ من التكوين النظامى ولا تتطلْبُ 
بطاقة (©0811). ش 

يَنْفُذٌ المستخدمون إلى شبكة 071.837 عن طريق نظام تَعَرْفٍ الهوية. 
يمتلك بروتوكول (802.110) وسيلتين لتعرّفٍ هوية المستخدمين: تَعرّف النظام 
المفتوح وتَعرُف المفتاح المشترك. 

لا يُطلبُ منك تَعَرْفَ هويتك كي تصبح عضواً في شبكة (43.آ1) 
(الشكل 3)» التي تعمل كنظام مفتوح. إذ يرسل المستخدم ببساطة عنوان 
(©814) فقط لإحراز النفاذ. وهنا يُفَتَرَض أن يثق المستخدم بأنه يتصل مع نقطة نفاذٍ 
واقعية بدون وجود وسيلة فعلية للتحقق من ذلك. لا يُمنح المستخدم النفادً للشبكة 
غالباً لأن مُعَرَفَ مجموعة الخدمة (55172) يكون غير معروف, أو غير مُمرّرٍ من 
نقطة النفاذ كما يجبء. إذ من المهم معرفة المحدد الأوحد لأجل نان النقاة. 
تقذ هذه المصافحة أوتوماتيكياً في أغلب التطبيقات بدون علم المستخدم. 


في نظم التحقق من الهوية وفق طريقة المفتاح المشترك تُستخدمٌ تقنية 
«تحدي - استجابة» لمنح النفاذ إلى شبكة ([42آ11). يبيّن كل من كاريجينيس 
وأوينس (2002 ,رقمع1 0 3 كتسموع نزممع]) أن المستخدم يستعمل مفتاحا مشفرا 
مشتركاً مع نقطة النفاذ فيشفرُ التحديّ المرسل من الشبكة ويعيدُ النتيجة إلى نقطة 
النفاذ. تقوم نقطةٌ النفاذٍ بفك تشفير النتيجة المحسوبة من قبل المستخدم وتسمحٌ 
بالنفاذٍ فقط إذا كانت القيمة التي فك تشفيرها تتطابق مع التحدي العشوائي 
المرسل في البداية» إن طريقة التحقق من الهوّية هذه هي تقنية بدائية في التشفير» 
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كما إنها لا تزود تحقيقاً متبادلآء ذلك يعني أن المستخدم لا يتحقَُّ من هوية نقطة 
النفاذ (87)» ولذلك فلا يوجد ضمان بأن هذا المستخدم يتصل بنقطة نفاذ 
وبشبكة لاسلكية شرعيين: وينظر لهذا كسيئّةِ في النظم اللاسلكية الحالية. 


مصافحة الإستجابة والتحدى 


نقطة التقاذ( ه) (م) و د 
4 5 
الهوية 


من 


يللب |التحاف 


توليد رقم عشوائي لتحدي 
المحطة اللاسلكية (المستخدم) 
تشفير التحدي باستخدام 
خوارزمية12)04 


فلك تشفير الرد لاسترداد التحدي 
والتحقق من أنه مطابق للاصل 


الشكل (3). 


إن أمن المعلومات هي السيئة رقم واحد في استعمال شبكات (/43.آ18). 
تَمْئَحُ شبكات (90/143/5) فرصاً هائلةً للمخترقين لاقتحام معلومات المؤسسة» 
يشار إليْها غالباً ب «الغرب: الضتاري: المعوعين** للشبكة. إن تركيب شبكة 
(1آ/17) يشابه وضعك لقطعة من كابل الشبكة خارج نافذتك مع لافتة تقول: 
«اتصال حر بالإنترنت». قد يرغب أشخاص باحتبار الخط ليروا ما إذا كان فعَالا. 
فور اكتشافهم لفعالية الخط. سيحاولون توسيع نفاذهم وامتيازهم بقدر ما يسمح 


() كناية عن ضراوة هذه الظاهرة. 
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به أمن شبكة (27ه.آ) السلكية. لقد غَطَّت السيئات على الحسنات المكتسبة جراء 
تركيب شبكة (01.آ18). 


إن التحشناتك» مه 


© قابلية التحرك: إن المستخدمين ليسوا مقيدين بمكانٍ واحدٍء فهم 
قادرون على الوصول إلى الملفات» ومصادر الشبكة» والإنترنت بدون الحاجة 
إلى الاتصال بالشبكة فيزيائياً بواسطة الأسلاك. 


© تزايد الإنتاجية : يعمل مستخدمو الأجهزة أو الحواسيب النقالة بشكل أكبر 
لصالح الشركة عندما لا يكونون داخل البناء» فستجدهم يعملون في القطارات» 
والطائرات» والباصات والسيارات» فبعض المستخدمين يكون أكثر إنتاجاً فور 
ذهابهم إلى 0 المساحات 0 207 عامة أكثر راحة. 
اتصالاات الشبكة 28 1 0 00 فلا ا 0 إزالة أية وراد ولن 
يُرْسَلَ أحدٌ إلى الأرضيات أو السقوف لسحب الأسلاك» ولا توجد أية تعديلات 
لازمة لعلبة الأسلاك. 

© المرونة ا ل ل 

من أجل حاجات مؤقتة مثل : غرفة الصف.ء أو مؤتمرء أو أحداث مؤقتة أخرى. 

يو قابلية التوسعة أو القدرة على تغيير حجم الشبكة : من الممكن تركيب 
شحفيا م شتيكات المتيل للمنيل الصغيرة إلى شكائف] الموسعة الفح مدا 
التى تغطى مساحة واسعة. 

الممارسات اللاسلكية 

يقفيى القراضتة وها لانن يفن ايعقؤل: الشكاس اللاتلكية: هذا 
القراصنة أول ما بدأوا بما يسمّى «التحرّي بالهاتف» ‏ الاتصال بأرقام هواتف 
إلى أن يجدوا «مودماً» مفتوحاً للنفاذ إلى الشبكات. لقد خلق ازدهارٌ الإنترنت 
في التسعينيات طرقا مباشرةً وسهلة جدا للاعتداء مثل: متفحص بروتوكول 
الإنترنت» ومكتشف الرسائل أو شمّام كتل المعلومات. إن شبكات (873[5.آ) 
أكثر أمناً من شبكات (1/1,4715) لأن (1/5ش.آ) محمية إلى حد ما بطبيعة بنيتها 
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الفيزيائية» نظراً إلى أن بعض أو جميع أجزاء الشبكة مُتوضّعة داخل البناء الذي 
يمكن حمايته من النفاذ المحظورء أما شبكات (1.4715آ/11) الموجودة عبر 
الموجات اللاسلكية فهى لا تمتلك البنية الفيزيائية ذاتهاء ولذلك فإنها أكثرُ 
عرضةً للتلاعب. يسمح روتوكرك 1802:1185 اداه برهو لك الم ممق ميف 
الموثوقين وغير الموثوقين. لقد تسبب هذا الانفتاح بظهور الجيل الثاني لاقتحام 
الشبكة المعروفة باسم «التحرّي بالسيارة». 

نقد «التحرّي بالسيارة» باستعمال حاسوب محمولٍ مزودٍ «ببطاقة الربط مع 
الشبكة» (©781) وببرمجيات قرصنة» وبالتجوال بالسيارة لالتقاط إشارات شبكة 
(1شآثلا) غير محمية. في هذه المرحلة من اللعبة يشن قراصنة التحرّي بالسيارة 
هنا وهناك عمليات للبحث عن أو خطف الشبكات «58ئعاء13 الث.آ» كما 
تسمى أحياناً - شبكات لاسلكية من أجل النفاذ المجاني إلى الإنترنت السريعة 
مع إخفاء الهوية. يقود» بشكل روتيني» سائقو التحرّي على شبكات (اللظآ) 
اللاسلكية سياراتهم المجهزة بحواسيب محمولة مشحونة ببطاقة 27ه.]آ) 
اللاسلكية» وبهوائي خارجي ذي ربح عالٍ» وبجهاز استقبال النظام العالمي 
لتحديد الموقع (625). ثُلَقَمْ كل من بطاقة شبكة (/82.]) اللاسلكية؛» وجهاز 
الاستقبال المحدد للموقعء الإشاراتٍ إلى داخل البرمجياتٍ المجانية» مثل 
برنامج «عاثر النت» (26162د26»56) لاكتشاف نقاط النفاذ ومعرّف مجموعة 
خدمتها ومواقعها المستنتجة من ال (655). إن شكلاً آخر للتحرّي بالسيارة هو 
التحرّي بالطائرة» حيث تكون أداة النقل طائرة بدلاً من سيارة. لقد شاع مؤخراً 
تَجُوَلُ الطلات في الأماكخ الجامعية مع حواسيب محمولة مجهرة ببرمجيات 
فاحصة لتحديد مكان نقاط النفاذ في الأبنية. لقد انتشر نشاط تحديد مكان نقاط 
النفاذ في السنوات القليلة الماضية انتشاراً كبيراً. 


يستخدمٌ القراصنةٌ» لتحديد أمكنة نقاط النفاذ (2)87 تقنيةً تدعى تحرّي 
الحوار (581:5211128.058.) (الشكل 4). إذ إنهم يستخدمون ببساطة الحوار 
لوضع رمز خاص على رصيف المشاة» أو على سطح آخرء يشير إلى وجود 
شبكة لاسلكية قريبةٍ» خاصة تلك التي تمنح وصولا للإنترنت. إن التحرّي 
بالسيارة وتحرّي الحوار نشاطان يمكن النظر إليهما على أنهما «ثقافة ثورية 
جديدة»» باعتبار أن الجمهور المستهدف ليس مالك الشبكة المستهدفة. خلال 
السنتين الماضيتين تكاتفٌ العديدٌ من الأشخاص لدعم «يوم عالمي للتحرّي 
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بالسيارة»)» ل ل البيانات من تجربتهم في التحرّي بالسيارة 
إلى قاعدة بيانات مركزية. نَبَشَّرُ هذه الفكرة ة بنجاح تجاري عظيم حيث شهد العديذ 
من بائعي التجزئة» بما فيهم مثلاً مقهى (واءناتائة)؟ يع 5'معلمن1) جاذبية وفائدة 
هذه الأجهزة اللاسلكية وتبنوا هذه النزعة اللأحدثء ألا وهي : البقع الساخنة. 


النّرّعات 
إن البقعَ الساخنة هي عقدٌ لشبكة عامةٍ وفق المعيار ل (802.11) متاحة 
للمستخدمين اللاسلكيين» وتوضع غالباً في أماكن مأهولة بشكل كبير مثل 
المطارات». ومحطات القطارء والمتاجرء وأحواض إرساء السفن» ومراكز 
الاجتماعات والفنادق. تمتلك البقعٌ الساخنة عادةً مدى قصيراً للنفاذ وهي متاحة 
على موقع جغرافي محدد. توجد آلافٌ من هذه المواقع التي تقدم نفاذاً لاسلكياً 
منخفض التكلفة أو مجانياً إلى مصادر الإنترنت والشبكة. 


دعونا نفوج بيحري اعلوار...! 


الشكل (4): رموز تحرّي الحوار /8.058/5]01(/2002/8/20 هك له طعهة7. 0178| / نطاغطا > 
. < 1730/3808 
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ستقوم البقع الساخنة بتغيير ثقافتنا من خلال تزويد نفاذ للإنترنت ذي سرعة 
عالية في أي مكان وفي كل الأوقات. لقد اتخذ العديد من تجَّار التجزئة قرارا 
تحار حميي نك ماح يذ نويات سييات ‏ تحدامي تسعد كل من التاق 
الوطنية والعالمية» والمخابز»ء والمقاهى النفاذ المجانى لجذب المستهلكين أملا 
في ابيع قد أكبر من 'القهوة والمعجنات ا أثناء النتتمال: المستخدمين لنقاط ثفاذ 
عالية السرعة» حيث يتمتع المستخدمون بالنفاذ السريع إلى الخارج وبالاتصال 
بشبكة خصوصية افتراضية (للشركة التي يعملون بها مثلا»» كما يستطيعون أن 
يصلوا بسهولة إلى مكتبهم لاسترجاع المحتوى من الشبكة المشتركة. لقد خلق 
استخدامٌ البقع الساخنة ثقافة جديدةً لدى المستخدمين الذين يعتقدون بأن النفاذ 
اللاسلكي يجب أن يكون عاما ومجانيا. 


لقد خططت منظمات فى الولايات المتحدة» مثل المنظمة اللاسلكية 
المشتركة وشركائها في مشوؤؤع الشبكة اللاسلكية المشتركة» لأن تقوم بتقديم 
نفاذ لاسلكي مجاني إلى الجميع (0113/15/11:61655.018 لا ممتططتم». 175717/177/ تطاغط) . 
تقتنى» وفق هذه الخططء العديدٌ من المجموعات والأفراد المحتوى والحزمة 
العرلضة وشدرا لمعي كيين تندة اللو يطلب اللاسلكية وف 
المعيار (802.11) (الشكل 5) ذي الوصول المجاني وبرمجياتٍ جاهزة ليس عليها 
حقوق ملكية فكرية 0015©. يوجد الآنَ عددٌ من الشركاء في مشاريع عبر الكرة 
الأرضية يعتقدون أن الشبكة اللاسلكية هي للعامة» ويأملون باستمالة دعم 
المجتمع التجاري لهذه الفكرة. 


الثغرات 


تنطبق جميع الثغرات الموجودة في الشبكة المحلية السلكية التقليدية 
شآ 81:60 على التقنيات اللاسلكية (2002 ,قصع:01 0ط2ة وتمصداع 12213). يجب 
أن يقوم المدراء بمعالجة ثغرات الشبكة المحلية اللاسلكية (471.آ18) بقدر أكبر 
من الحذر. مثل: نقاط الضعف في البنية أو التنفيذ أو التصميم أو إدارة الشبكة 
أو النظام. تُواجهُ الشبكات اللاسلكية تحديات خاصة بها عند محاولة تخفيف 
التهديدات؛ وهي أيّ شيء قد يعطل العمل القويم للشبكة أو النظام» فالأجهزة 
اللاسلكية تسببُ مشكلات أكثر جرّاء طبيعتها المتحركة. إن هذه الأجهزة تنتقل 
من شبكة إلى أخرىء مُنَّصلةًٌ بالإنترنت وعائدةً إلى شبكة (881.471) المشتركة 
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مع احتمالية نقل جميع أنواع البرمجيات الخبيثة. إلى حد ماء يجب أن يُعْتَبّر 
مستخدمو الحواسيب النقال بمثابة «ناقلين للبرامج الخبيثة» وأن يتم عزلهم 
بشكل إلزامي على الفور في منطقة «معزولة» إلى أن يتلقوا فحصا ملائما لإزالة 
جميع البرفيفانك الخبيثة ا (1581:6ه0) . 


أمن المعلوماث اللاسلكية 802.111 


و لا أمن ,أو أن الأمن يقدم من خلال وسائل اخرى 


الشكل (5) . 


قد ينقل المستخدمون برامج خبيثة (ع2121صم) لا شعورياء ويصيبون 
بالعدوى الشبكة المحلية المشتركة (/81.آ) إذا لم تتخذ الإجراءات الوقائية 
المناسية 

تُحدد النشرة الخاصة ل (71151 800-48) بعضاً من أكثر الثغرات والتهديدات 


لكوع في الأجهزة اللاسلكية» لقد صنَّمَتَ بشكلٍ يوضح مبدأ أمن المعلومات 
الذي قد أخل به عنذما لا يجري تخفيف هذه الثغرات والتهديدات كما يجب. 


تحدثٌ انتهاكات السّرية إذا: 
©» جرى التنصّّتٌُ على المعلومات الحساسة غير المشفرة (أو المشفرة 
بتقنيات تشفير ضعيفة) والمنقولة بين جهازين لاسلكيين» وتم كشفها. 
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© انوكت الكباناث الشيفة خصاصية الكيعحتمية الشرعيين واكسيت 
القدرة على تَعَفْبِ حركاتهم الفعلية. 

#كقحت المكلوماف الححاحة فيكة شيركة الكحيوة "السسية المسيرلة: 
التي عادةً ما تسرق بسهولة. 

تتعرض سلامة المعلومات للشبهة إذا: 

د.خطللك الكباناك 'التفيفة عزلى « الاك المحظوو» إلى شك "جاسوفئ 

د شترقع: الكيانات الشيعة هوية ميحد شرعي::.ودهلة علن: الشيكات 
الداخلية أو الخارجية للشركة. 

- تَخَريت البياناتٌ الحساسة أثناء المزامنة الخاطتة. 

- شرفت البيانات حَفيَةَ من الأجهزة المركبة بشكل خاطئ. 

نقتت الفيووساظ ع اق المركساه نفيك الكمرعف:] انيانات الموعوية 

تنخفض الجاهزية إذا : 

وجَهّت اعتداءاث «الحرمان من الخدمة» (©20) إلى الوصلات أو 
الأجهزة اللاسلكية. 

- انَصَلَت الكياناتٌ الخبيثة» من خلال شبكة لاسلكية» بمنظمات أخرى 
في سبيل شن الهجمات مع تعمية نشاطها. 

- كان المتطفلون» سواء من الداخل أو الخارجء قادرين على إحراز 
الدخول إلى ضوابط إدارة الشبكة» وبذلك يضعفون أو يعطلون العمليات (النشر 
الخاص ب721151 800-48). 

تزداد حالياً حاجة الشركات إلى حلول أقوى لأمن المعلومات نظرا إلى أن 
شبكات (437:آ8) قد أصبحت واسعة الانتشار. إن ما أثبتَ مؤخراً حول وجود 
ثغرة فى تعمية «الخصوصية المكافئة للشبكات السلكية» (98/85)» قد جعل الأمر 
واضحاًء أي أن حماية (18/88) وحدها غير كافية» فمواصفات الأمن في (1/85) 
لا تمنح مستوى عالياً من الحماية. لقد نَشَرَ الثلاثي فلوهرر ومالتين وشامر 
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(2001 ,تتستقطك لنة صتخصة ]8 ,تععمطساط) طريقة لكسر شفرة تقنية خوارزمية 104 
المستخدمة في (7/87) باستعمال «النص المعمى». لقد صرح هؤلاء المؤلفون 
«لاحظوا أننا لم نحاول مهاجمة اتصال فعلي ل (1788) ولذا لا ندعي أن 
(171/8) هو عرضة لهذا الاعتداء فعلا). ولكن فيما بعد 0 ستبلفيد» لونيديس 
وروبن (2001 ,ضذطنا1 ممه 015نمم102) كسر هذه التقنية بنجاح مثبتين وجود هذه 
الثغرة فى (18/85) . 

ليس هناك داع للغضب بشأن أخطاء التصميم المكتشفة في (7/88)) 
ف (88/88) تفعل ما صممت لتقوم به كخدمة أمن معلومات. إنها تقدم» كما يشير 
(4.آ) السلكية. لم تكن الضمانات موجودة». وفي حين إعلان هذا المعيار لم 
يكن هناك أي شخص يطالب بمواصفات أمن أكيدة. من أجل شبكات (437.آ/178) 
قام معهد 1811 بتعين 7788 لتأدية الوظائف الثلاث الآنية: 

- التحقق من الهوية: لقد كان الهدفٌ الرئيسي ل(1/85) تقديمٌ خدمة 
حماية للتثبُت من هوية المحطات المتصلة. يزود هذا تحكماً بالنفاذ إلى الشبكة 
بوساطة رفض وصول محطات حاسوبية لا تستطيع القيام ببيان هويتها كما 
يجب. توجّهُ هذه الخدمة السؤال «هل يُسمح فقط للأشخاص المباحين بالدخول 
إلى شبكتي؟ . 

- السّرية: لقد كانت السّرية أو الخصوصية الهدف الثانى ل (99/582). فلقد 
طَوَّرَت لتقديم ذات «الخصوصية المحققة بوساطة الشبكة السلكية». إن الغاية 
كانك يلع كتف المعلومات عو + ظريق الخضتك! العرقيي (الاعدداة* السلبي). 
توجه هذه الخدمة السؤال «هل يسمح للأشخاص المباحين فقط برؤية بياناتي؟». 

- سلامة وصول البيانات: إن الهدف الآخر ل (1885) كان خدمةً أمن 
المعلومات المطورة لضمان عدم تغيير الرسائل خلال الانتقال بين الحواسيب 
اللاسلكية ونقطة النفاذ فى الاعتداء الفعال. توجه هذه الخدمة السؤال «هل 
البيانات الداخلة إلى الشبكة أو الخارجة منها جديرة بالثقة ‏ هل تم التلاعب 
بها؟») (2002 ,قدع01 220 ولمصقاع نتف ك1) . 

تعود أغلبُ المآخذ على أمن شبكات (7/1:47/7) إلى الأخطاء الموجودة فى 
تصميم التقنية أو المواصفة. من الصعب إصلاح نقاط الضعف الموجودة في 
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التصميم حالما يتم شراء المنتج. إن جميع التقنيات عُرضّة لوجود خطأ في 
التصميم» وللتغلب على ضعف التصميم ينبغي على مدراء ([421.آ18) أن 
يحتاطوا علق نحو إفتنافن لبناء/وتتفيدك وإدازة 'الشيكة كما يجن من الميشحيل 
سود يعي الالخراية السعيفل يككل تهات عدلها يكم تراه الملقه أرقتل 
إضافته إلى الشبكة. ولكن يوجد وقتّ كافٍ فور شرائه لإجراء تعديلات طفيفة 
على البنية أو التنفيذ بإدخال ممارسات إدارية فعَالة. تناقش الفقرة التالية الأنواعَ 
المختلفة للاجراءات المضادة المتوفرة للحد من بعض الثغرات المعروفة. 

تتضمئنُ أفضلّ الإجراءات المضادة نشاطات الإدارة» والتنفيذ»ء والبئية 
(©001* لتخفيف الغغرات ضَمن شبكة (51437). يجب أن تطبق إجراءات 
الإدارة المضادة بالارتكاز على سياسة أمن معلومات مرسومة رسماً متقناً. ينبغي 
أن 'تكوون الساسة مرتكرة على رؤيةٍ إداريةٍ وأن تقدّمٌ إطار عملٍ من أجل إدارة 
شبكة (1.417آ177). بعد ذلك ينَعُذٌ المدراءً الرؤية من خلال وضعهم محددات 
وقيم وضوابط الشبكة. 


إجراءات مضادة إدارية 


تعمل إجراءات الإدارة المضادة على تهيئة الساحة لكل ما يمكن أن يجري 
على شبكة (771.4137) بالارتكاز على السياسة» يجب أن تعمل هذه الإجراءات 
المضادة على : 


بحسب الوظيفة» 5-0 وفريق العمل أو حسب 0 الأمنية. 


- تحديدٌ ما إذا كان الدخول إلى الإنترنت مطلوباً من خلال شبكة 
(1طآ/7)» فبعض تطبيقات ([11/1/411) تخدم الشبكات الداخلية فقط. 


- توضيحٌ من يسمح له بتنصيب نقاط النفاذ والأجهزة اللاسلكية الأخرى. إذ 
من الضروري التحقق من الاستخدام المناسب للتقنية نظراً إلى سهولة التنصيب. 

- وضع تشديدات حول مكان نقاط النفاذ وحول أمنها الفيزيائي لتقليل بثّ 
(مسافة وجاهزية) الإشارة. 


و4 211 1212131101ع1 م102 الاعطرعع 2 مة ١1‏ - 1110 
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- توضيح نوع المعلومات التي يسمح بأن ترسل عبر الروابط اللاسلكية 
لتقليل افتضاحات البيانات الحساسة. 

- توضيحٌ الظروف التي تُسمح فيها الأجهزة اللاسلكية. 

- تحديدٌُ الأوضاع المعيارية لأمن المعلومات من أجل نقاط النفاذ لتقليل 
المخاطر وتعميم معايير موحدة للب 

- توضيحٌ القيود حول كيفية استخدام الجهاز اللاسلكي مثل: الموقع ضمن 
أو خارج البناء» والقرب من المناطق الحساسة» لتجنب الوصول إلى البيانات 
الشخصية أو السّرية. 

- توضيحٌ البنية المعتمدة البرمجيات والتجهيزات لجميع الأجهزة 
اللاسلكية. 

- تزويد الإرشادات حول تقديم التقارير عند فقدان الأجهزة اللاسلكية 
وحوادث الأمن. 

- تزويد الإرشادات من أجل حماية الحواسيب اللاسلكية لتقليل /تخفيف 
السرقة. 

- تزويد الإرشادات حول استخدام أنظمة التعمية» وإدارة مفاتيحها. 

- تحديد تواتر عملية تقييم الإجراءات الأمنية ونطاقها بحيث تتضمن 
موضوع اكتشاف نقطة النفاذ. 

إجراءات مضادة عند تنفيذ الشبكة 

إن اخوارات السفية المنم لدي" الشعواظ بقن العسلية: تعيب العتواي اتن 
إدارة شبكات (/98/1,83) على السماح بوقوع النشاط أو الحدث أو منعه. اعتّبز 
جميعٌ الشبكات اللاسلكية غير آمنة ومتوفرة علانية. قُمْ بنقل نقطة النفاذ إلى 
«منطقة معزولة» (شبكة فرعية محمية على 57.آ) إذا أمكن. حيث تكون 
البيانات الحساسة غير متوفرة للمعتدين. ركب جدران النار لتحميك من 
الاعتداءات ومحاولاات الاعتداء. 

- استخدم فقط نوع الحماية (17/885) وبطاقة (08/105) التي تدعم تشفيراً 
قوياً أي على الأقل (88/85) ذي 64 خانة (ويفضل 128 خانة). 
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- خذ بعين الاعتبار استخدام أدوات تعمية» وكذلك أدوات التحقق من 
الهوية من جهة محايدة قبل أن تسمح بالاتصال بنقطة النفاذ إلى شبكتك. 


- حاول انتقاء مكان نقطة النفاذ اللاسلكى (7845) فيزيائياً بحيث تكون 
إشاراتها ضعبة العثون بالنسبة إلى معلضصصي'الشبكة: أغط اهتماماً بالغاً لتوجيه 
الفوافية .رقجليا تعيينمكاة<(983) بالترب من التواقة أوافي غرقة اقريية من 
الشارع أواكرية مق عرف السيارات. ْ 

- قم بعملية تفحص دورية للشبكات اللاسلكية ضمن مكان عملك/ منزلك 
وحوله مستخدماً «متلصصاً» أو شركة استشارية متخصصة. إذ من السهل على أي 
موظك شيواء: (©0010):و(ط8 97 'وتتصيبهما على تحاسوي :مم نواسيت: الشركة 
تقوم بعض أنظمة التشغيل بتجسيد (17/82) اتوماتيكياً مع الشبكة السلكية للشركة 
سامحةً بذلك النفاذ للشبكة (خلف جدار النار) والحصول على معلومات خاصة 
لأي شخص معه حاسوب محمول ببطاقة لاسلكية. ستحدد عملية التفحص ما 
إذا كانت إجراءات أمن المعلومات جاهزة أو ما إذا كان هناك أية تغييرات فى 
بيه الك سين عب التتجمن أبقنا الجيانة الى “يلها الأكاراف للفسلكة 
حارج :رانك ْ 


- اشتر التقنية اللاسلكية ذات البرمجيات المخزنة بطريقة لا يمكن تغييرها 
أو فقدانها والقابلة للتحديث. يجري تطويرُ تحسيناتٍ جديدة في أمن المعلومات 
«كالنفاذ المحمي ل (طخال؟ا) 220171-51 ومع المنتج القابل للتحديث» فإن قدرتك 
على استخدام هذه التقنية تصبح أكبر. خذ بعين الاعتبار استخدام (8882) التي 
أصبحت متوفرة. تمتلك 1/42) العديد من المميزات الجديدة لأمن المعلومات 
اللاسلكية» بما فيها: التحقق من الهوية. وإدارة مفتاح التعمية» وبروتوكول 
سلامة المفتاح المؤقت (11617)». وتَمَخُص سلامة وصول المعلومات» وحماية 
الردودء واحتواؤها على تعمية معيار التعمية المتقدمة (817835). 


- اضمن أن حواسيبك تعمل وفق أحدث مستوى لرُقَع البرمجيات. إن هذا 
نسي .متواحفة الطعداكة ريعلوبيادك: معت إذا تنا تسكن الازامطة تبي الراضيول 
إلى الشبكة اللاسلكية. 

- استخدم برنامجاً مضاداً للفيروسات والديدان مع آخر تحديثاته ضد 
الفيروس أو الدود الجديد. سيساعد هذا على منع المعتدي» الذي استطاع 
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دخول شبكتك» من تنصيب فيروس أو حصان طروادة للنفاذ سرا إلى 
حاسوبك» وسيحمي حاسوبك من برمجيات خبيثة أخرى. 

امنع الدخول فيزيائياً إلى مكان نقطة النفاذء وأبقها بعيدةً عن الأنظار في 
مكان مقفل» وبمنعك الدخول إلى (7/45) فإنك ستضمنٌ عدم قيام أشخاص 
مدسوسين بإعادة تهيئة النظامء أو التحكم بهء أو إعادة بناء الجهاز فيزيائياً. 


إجراءات مضادة بنبوية 


إن الإجراءاتِ المضادة البنيوية أسهل الإجراءات فهماً. تعالج هذه 
الإجراءات المضادة التحمّقّ من الهوية» والتحكمٌ بالدخول». وسلامة وصول 
البيانات» وسّرية البيانات وأجهزة الحاسوب على الشبكة. إن إدراك كيفية بناء 
نقطة النفاذ هو أمث هام لتحقيق الرؤية الموضوعة في سياسة أمن منظمتك. 
محكفك البية 'الجماسة العديد أن التوديداك وعد مه العقراث غير المت فعة 
والمفاجئة. إن المقاربة الإيجابية الفاعلةة للموضوع هي أفضلٌ وسيلة لاتخاذ 
الإجراءات المضادة البنيوية؛ باعتبار أن كتيبات الإرشادات تأتي مع معظم التقنية 
اليوم» فمن المفروض أن يكون استنتاج أفضل بنية سهلا من خلال قراءة هذه 
الكتيبات. إن من أهم المواصفات في هذا المجال ما يلي: 

1. إستخدم «الخصوصية المكافئة للشبكات السلكية» أو «بروتوكول التعمية 
اللاسلكي» (7/582): يخفف هذا البروتوكول (7/582) من خطر اعتراض الإشارة 
الراديوية من قبل شخص ما قريب. صَممْ (85/) مع وظيفتي التعمية 
والتحقق من الهوية بين الحواسيب ونقاط النفاذ و(425) وفقاً لمعيار (802.116). 
تقوم حماية (11/588) على خوارزمية للتعمية تدعى (804). تقوم بعض المنتجات 
بالسماح بتعيين طريقة التحقق من الهوية لكلا النطاقين: النظام المفتوح أو نظام 
المفتاح المشترك. استخدم طريقة «المفتاح المشترك» لكي تستخدم التعمية 
للتحقق من هوية حاسوب زبائنك ولتشفير بياناته. وبالرغم من أن تعمية (9/87) 
قن كبيوث الأ أن 'استعهالة' لأ"يزال متها بالتسنة إلى التكلفة (مجاتى )+ ويعد 
طبقة أولى قيّمة للحماية. فى بحثى طيلة السنين العالاك المحم رن ردت أن 
أكثر من 60/ من نقاط النفاذ لا تستخدم (08/88» بينما قد يسبب تفعيلٌ هذه 
الخدمة انصرافٌ المعتدي أو المستخدم الفضولي إلى هدفٍ أسهل. تُوَلَدُ 
خوارزمية التعمية انطلاقاً من مفتاح (تتابع الأرقام) مدخل ومُرَاقب من قبل 
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المستخدم. تبنى جميع الحواسيب ونقاط النفاذ (829) بمفتاح واحدٍ لتعمية وفك 
تعمية إرسال البيانات. إن مفاتيح (7/88) هي بطول 40 أو 128 خانة» وقد تبنى 
فى ثلاث طرق ممكنة: طريقة عدم استخدام التعمية» أو طريقة التعمية ب 40 
خانه» أو طريقة التعمية ب 128 خانة. 


2 اجعل نقطة النفاذ آمنةً بكلمة سرء يجب أن تطلب نقطة النفاذ إلى 
قيبكتك: كلمة سر للدخول إلى مميزاتها الإدارية» إذا كانت لا تقوم بذلك 
استبدلها بواحدة تفعل. استخدم كلمات سر قوية لتحمي من أدوات اكتشاف 
كلمة السّر. تأكد من أن نقطة النفاذ لا تستخدم كلمة السّر الموجودة في الأصل 
عند شرائك للجهاز 4653119). إن كلمة السّر الموجودة في الأصل معروفة» 
وستكون واحدة من أولى الاستغلالات التى سيجربها المعتدي المتمرس. يحَدّدُ 
العديدٌ من أجهزة الكشفب اللاسلكية العتانة انطلاقاً من «عنوان التحكم بالنفاذ 
إلى الوسائط» المخزن في بطاقة الولوج إلى نقطة النفاذ (©ه عطا]ه ©884)» إن 
هذه المعلومات تُسَهلُ تخمينَ نوع (1885) المستخدمء حتى لو تم «تغيير مُعَرّف 
مجموعة الخدمة» (5511). قم بتغيير كلمة السّر بشكل دوري. 

3. غير معرف مجموعة الخدمة 85192) إلى اسم استثنائي فعلاً بحيث لا 
يشير إلى مالك نقطة النفاذ. يسمح (55112) لشبكة (/17/1,43) أن تكون مفصولة 
إلى شبكات عديدة» ولكل شبكة معرّفٌ مختلف. تُعطى كل شبكة من هذه 
الشبكات معرفاً مختلفاً يُبرمج لواحدة أو أكثر من نقاط النفاذ (8729). للدخول 
إلى أي من هذه الشبكات» على حاسوب المستخدم أن يتمتع بالمعرّف المطابق 
(551) لتلك الشبكة» وبالتالى يعمل المعرف (5512) ككلمة سر بسيطة تزود 
درجة من الحماية. تُخلقُ نقطة الضعفٍ عندما يُعْرَفَ (58512) أو تتم مشاركتهء 
أو يكونٌ الحصول عليه سهلاً بوساطة برمجياتٍ مجانية محملة على حاسوب 
المستخدم للشبكة اللاسلكية. 

4. قم بتعطيل ببثّ «مُعرّف مجموعة الخدمة (2))5512 إذا كانت هذه الميزة 
متاحة من قبل بائع الأجهزة. إن معظم نقاط النفاذ تبث المعرف (55112) حكما 
10ندهاءل). إن هذا يجعلّ الشبكة تقبل أي (5512). بتعطيل بثّ المعرفٍ (2)5512 
يتحتم تطابق معرّف الخدمة المبرمج في حاسوب المستخدم مع معرّفٍ نقطة النفاذ. 

5. أغلق بروتوكول تكوين الحاسوب المضيف ديناميكياً (21107)» وعيِّنْ 
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عنوانَ بروتوكول إنترنت (15) ثابت للأجهزة اللاسلكية. سيجعل هذا (17/45) 
خاصتك يمتنع عن إرسال عنوان (15) إلى أي حاسوب يحاول الاتصال به. خذ 
بعين الاعتبار أيضاً تغيير (15) الشبكة الفرعية إلى عنوان غير العنوان الأصلي 
آنطة]ءل. إن العديد من نقاط النفاذ تعتمد ال 15 ذا الرقم (192.168.1.0) 
للشبكة». وتستخدم ال ه12 ذا الرقم (192.168.1.1) كعنوان أصلي 0اسمعل) 
للموجّهِ (2عانا20). يزودُ تغيِيرُ هذه الأمور الموجودة فى الأصل (115ه6ء3) 
نات إقنافة العا ْ 

6. قم بترشيح الأجهزة وفق عناوينها المجسدة فيها (©0146). يزيد الترشيح 
من أمن المعلومات من خلال تزويد نقطة النفاذ بقائمة بعناوين (©38]486) 
للحواسيب التي يسمح لها بالدخول إلى نقطة النفاذ. إذا كان عنوان (©0148) 
للحاسوب المستخدم غير موجود على القائمة» فإن نقطة النفاذ ستمنع دخوله. 
تُقدمُ هذه الطريقة أمن معلومات جيدأء ولكنها تلائم الشبكات الصغيرة فقط. من 
الواضح أن العمل الكبير اللازم لإدخال عناوين (©814) وإبقاء القوائم محيّنة أو 
محدّئة لجميع أجهزة نقاط النفاذ يخفف من جدوى هذه الطريقة. قد تُركبُ نقطة 
النفاذ مع حماية التعمية فقط في طريقة النظام المفتوح» أو تضيف تَعَرُفَ الهوية 
في طريقة المفتاح المشترك. يُستخدمٌ غالباً ترشيحٌ عنوان (©814) مع هذه 
التعمية. إن حماية (1/87) تلاثئم الشبكات الصغيرة نظرا إلى عدم وجود 
بروتوكول لإدارة المفاتيح. وبالنتيجة» يجب أن تُدخَل المفاتيح يدوياً إلى كل 
حاسوب. قد يشكل هذا عبئاً إدارياً هائلآء خاصة أنه ينبغي تغيير المفاتيح بشكل 
منتظم لتزويد مستوى حماية أعلى. 

قم بتطويل مدة «منارة» نقطة النفاذ (الفترة الزمنية الفاصلة بين بَنَيْن لِمُعَرَفٍ 
اللقيكة ا إذ سردل معلزماة اهار عم رجاف اتلك إلى المع 
تُرْسَلُ هذه المنارات من قبل نقاط النفاذ في أوقات زمنية منتظمة وتسمح لمحطة 
حاسوب المستخدم بتحديد وملاءمة بنيته لكي تتصل بالشبكة اللاسلكية. من 
المناسب وضع المدة على قيمتها العليا وهي 67 ثانية تقريباً. 

كطريقة أكثر أمناًء طَوَّرَ بعض البائعين حلول شبكة افتراضية خاصة (511/) 
التي تُقِيمٌ نفقاً آمناً من أجل حركة المرور اللاسلكية الخاصة بك. تتضمن منتجات 
الحماية اللاسلكية المطورة الان وسائل للتحقق من هوية جميع المستخدمين 
اللاسلكيين قبل أن يتمكنوا من الدخول إلى مصادر الشبكة» ولتعمية البيانات قبل 
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بتها على الهو ستشقدية مكيان العكمية المتضدهم (8388)» ومتشكية بسخول 
المستخدم إلى أجزاء الشبكة من خلال استخدام «مخدمي السياسة». 


ماذا بعد؟ 


يعمل العديد من الأشخاص من أجل تحسين أمن شبكات (الشآ8)) 
والهدف من ذلك 2 المقام الأول هو رفع جودة وظيفة أمن الشبكة» أما الهدف 
في المقام الثاني» ولكنه بنفس درجة الأهمية» فهو تعزيز ثقة مستخدمي ومدراء 
الشبكات اللاسلكية. ثمة ثلاث طرق لديها بوادر نجاح تُوَطَدُ مستقبل شبكات 
1 (اللشآ/ا): وهي: 

)212052( 


قد يُدعم مستقبل الشيكات اللاسلكية الآمنة (10/1.819) بمنتجات مثل نقطة 
النفاذ المسماة (22058). أَدخَلّت تقنيات (01052) تقنية (11ك.آ) اللاسلكية الآمنة 
الي تعتمد على خوارزمية أمن (25854) (خوارزمية الحماية المعززة) 282058 
التي تجعل إشاراتها غير مرئية للقراصنة وللمراقبين غير المسموح لهم. وبالتالي 
تقلل كثيرا من قابليتها للقرضتة والانتهاك: ولكن .يجب التدويه إلى أن عضن 
القراصنة المصممين لا يزالون قادرين على مراقبة الإشارة الراديوية (11) ورصد 
نشاط شبكة (47.]) عبر الهواءء إلا أن اقتحام النظام من قبلهم سيكون أمراً 
بمنتهى الصعوبة (2003 ,هنط5 320 دمنك) . إن هذا الحل مثله مثل حلول 
(473.آ17) الأخرى فهي جميعها: قابلة للتوسعة أو التصغيرء وقابلة للتحسين» 
ومرنة» ومن : الممكن تعديلها وفقاً لطلب الزبون. 

يستطيع مستخدمو شبكات (4717]آ18) الآمنة (010052) ليس فقط الدخول 
إليهاء وإنما إلى كل شبكات (1871.43/5) المعيارية أيضاً والمنتشرة بشكل واسع 
في الأمكنة العامة أو في المناطق المحمية حماية عالية. عندما تقتضي الضرورة 
تعزيز التحقق من الهوية» أو إجراء إدارة المفتاح» فإن تقنية (981.431) الآمنة 
(02098) تعتبر الحل بدون منازع. إن خوارزميات التعمية وحلول الآمن تتطلب 
التحسين باستمرار لأنها في صراع دائم مع القراصنة. ووفقاً لما هو منشور فإن 
خوارزمية (2854) قد صممت لجعل التحسينات بسيطة وسهلة. 

إن لصفت بسن . مخطط (1ك.آ) اللاسلكية المقترح مع تقنية (للش.آ) 
اللاسلكية الآمنة (قوهطه سيجعل النظام ليس فقط غير مرئي» حتى في الحزمة 
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الراديوية (15)» وإنما سيضمن أيضاً أن النظام سيبقى منيعاً نسبياً للهجمات حتى 
لو تم اكتشاف الإشارة. إن تطبيق إجراءي الأمن المذكورين كليهماء سيزوّد 
شبكة (1.477) اللاسلكية بحماية قوية جداً صالحة وملائمة لصون بيانات وبرامج 
الحكومة. 


النفاذ المحمى لل 1571-11 (11724) 


إن «النفاذ المحمى لل (198/1-51)» هو مواصفة لمعيار تحسين أمن المعلومات 
المسادلة الاسلكيا .زم الإريد إيادة عدي 6 ميترى حاب البزانات ومسفرى 
التحكم بالنفاذ في أنظمة الشبكات (8131.]) اللاسلكية الموجودة والمقبلة. إن 
«النفاذ المحمي لل (181-51)» قد صمم للعمل على أجهزة الحاسوب الحالية 
كتحسين برمجي مشتقٍ من ومتلائم مع معيار (802.111115888)!". 


إن المعيار (97584) هو تجاوب إيجابي من قبل الصناعة بتقديم 079 قوي 
وفوري لأمن المعلومات. تتوفر * الآنَّ برمجيات تحسينية ورخيصة للتنصيب في 
الشبكات المحلية اللاسلكية للمؤسسات أو للمنازل/ المكاتب (5015150). إن هذا 
ا ل ل ل 
(14) هو فرغ للقعار (802.111) وسيبقي فادرا على المللاءمة المستقبلية. 


لقد تمّ وضعٌ مُواصفة النفاذ المحمي ل (781-51) لتقدمٌ تعميةً محسنة 
للبيانات التي كانت ضعيفة في (97585)»: ولتوفرَ عملية التحقق من هوية 
المستخدم المفقودة غالباً في معيار (98155). تركرٌ هذه التحسينات على استخدام 
التعمية المعززة للبيانات من خلال بروتوكول سلامة المفتاح المؤقت (1112). 
يزود بروتوكول (11212) تعزيزات مهمة لتعمية المعلومات». بما فى ذلك 
وظيفة خلط المفتاح قبل كل عبوة إعكاءع2:6-20 وتفحص سلامة بعلوفاة 
الرسالة (3/1100) عاععط0) 3139معء16ه1 مع 21555 المسمى ميشال (عةطء311). والموجه 
الابتدائي الممتد (/19) :1/66]0 111211228105 مع قواعد تسلسل» وآلية إعادة 
إدخال المفتاح. يعالج (11617) من خلال هذه التعزيزات جميع ثغرات (097/582) 
المعروفة. 


داك < 01م الاع1ل1ء017_ووععع لط لعاععا 10م _01/171-11صم /نامناءع كاعم 0ع 7/1-11.01. 187/17 اط > 


1][0 


مفتاح العبوة(كتلة 
سلامة وصول البيانات 
(معلدعط) 

الاعتداء المعتاد 

إدارة المفتاح 

تعمية الترويسة (062067) 


الطريقة المخبأة 


معنلا 
04 


0 خانة 


4817 خانة 


90111 
01-0 
8 خانة 


7 - خانة 


غير لازمة 


001 
0011 


سلسلة 137 
ممر 
لا يوجد 


لا يوجد 


112054 
ححظطم 
1286 خانة 


4817 خانة 


وظيفة خلط 


06 2 


ذحدحطم 


17 معماة 


ذا رطرق حرق 
ذححظطم 


نعم 


إن استخدامَ معيار التحقّق من هوية المستخدم لمستوى المؤسسة 802.1) 
«وبروتوكول التحقق من الهوية الموسع» (887) يقوي عملية التحقق من الهوية. 
إن مواصفة (7/85) لا تمتلك تقنية للتحقق من هوية المستخدم. تَسْتَعْمِل 
مواصفةٌ «النفاذ المحمى لل 241871-51 المعيارَ 802.17 وبروتوكول (84). 


تشكل: هذه الأدواث محتمعة إطاز سكل رقن اجن التحفق من اهوية 
المستخدم. يَستَخْدِمُ إطارُ العمل هذا خادماً مركزياً للتحقق من الهوية» مثل 


(2821115) وذلك للتحقق من هوية كل مستخدم على الشبكة قبل اتصاله بهاء 
ويوظفٌ أيضاً «التحقق المتبادل» لكي لا يتصل المستخدمٌ اللاسلكي عَرَضاً 


بشبكة خبيثة قد تسرق المعلومات المعتمدة لشبكته. 
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لقد طورت العديدُ من الشركاتٍ حلولاً لشبكات (437.آ1/1) خصيصاً 
للمؤسسات» بحيث تعالج العديد من الثغرات المتعلقة ب (802.116). تتطلب 
حاجات المؤسسة عادةً عدَّةَ مستويات من الدفاع. يجب على مدراء شبكة 
(1771473) في أي مؤسسة أن يمتلكوا مجموعة من البرمجيات التى تلبّى الحد 
الأدنى لمعيار هيكلية أمن المعلومات. ينبغى أن يتضمن الحل على الأقل ما 
يلي : 

قحلن من الهوية سادل ميخ المستخدميق والشيكة: 

- النّحكمٌ بالدخول إلى نقاط النفاذ والموارد الموجودة على الشبكة 
السلكية. 

تحكمٌ بالنفاذ مبنيٌ على اللائحة. 

ا هما الترخيص للمستخدمين والأجهزة. 

سّرية الرسالة. 

- التحقق من هوية الرسالة. 

- الإدارة الديناميكية لمفتاح التعمية. 

- عزل حركة المرور اللاسلكية عن شبكة ([ شآ) السلكية. 

- بروتوكول تعمية (التشفير) عالي المستوى. 


إن «الجدار اللاسلكى» المطور من قبل شركة .م1 متعاذلا 0100116 هو حل 
كاير للقي اللاسلكة للمؤسسات (/473.آ187): فالجدار اللاسلكى 2 هو 
تجموعة درق الإزمعييات: الت معام .مع خالة 'البنية «اللمففوكة .هذا الحل ميت 
لإدارة وأمن الشبكات اللاسلكية التي تسمح بأكبر حرية ممكنه لحركة 
المستخدمين. يعمل «الجدار اللاسلكي» على نحو متبادل مع تطبيقات الحماية 
والإدارة والسياسة الموجودة» ويزود دعماً كبيراً لمجموعة متنوعة من الأجهزة 
اللاسلكية. 


)2( . < 01م.مهحطععا-551211ع1ع15/1711 7/020 01م إحطامء. عاتطه». /1897/17/ اط > 
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إجراءات المتابعة 


ينبغي أن تشتمل سياسات أمن المعلومات للمنظمة على تقييم وتفتيش دائمين 
لهذا الأمن. وهذه هي الطريقة المثلى لقياس نجاح خطة أمن شبكة (470.آ18). 
تعد عملية التقييم حجر الأساس في تحديد الحالة الراهنة لأمن المعلومات» 
وذلك من خلال تقييم البنية مقارنة بالممارساتٍ الأفضل ومعايير الصناعة 
المعترفٍ بها 

إن عملية التقييم هي أداةٌ إداريةٌ ممتازةٌ تحددُ نقاط الضعف ونقاط القوة في 
أمن المعلومات. ُستخدمُ نتائجٌ التقييم بعد ذلك للسماح للإدارة بترتيب أولويات 
الموارد والجهود من أجل المستقبل. إن عملية التقييم أساسية لتفخُص وضعية 
أمن شيكات (11/1:47[7) وتحديدٍ الإجراء الإصلاحي اللازم للتأكد من 0 آمنة. 
أما التفتيشٌ فيراقب الضوابطً الحاكمة للشبكة اللاسلكية (171.571) تبعاً لما هو 
مذكور فى الوثائق. يقوم المدققون بتفخص الوثائق» ويُجرونَ اي 
ال د ويبحثونَ في الاتجاهات المستقبلية لتقرير ما يُفترض أن تقوم به 
خطط الأمن. إذا وَُجِدَ أن الضوابط المكتوبة هي نفسها في التطبيق» فإن التدقيق 
يبشر خيراً. 

أما إذا كانت هناك فجوة بين «الشاطاك المكتورة :وتلك: المنفدة فإن: الشنيكن 
يعتبر غير مرض. إنه أمر مهم للشركات أن تقوم بعمليات تفتيش منتظمة 
العادم 0 الشبكة اللاسلكية وأدوات أخرى. إن المحلل وهو ما يدعى 
أحياناً ب «المكتشف أو المشمشم» هو أداة فعالة لإدارة عملية التفتيش على أمن 
المعلومات وإصلاح خللٍ الشبكة اللاسلكية (2002 رقدء01 220 متصصماعنزنة؟1) . 
قد يَسْتَخْدِمُ مدراكٌ الأمن أو مفتشوه تحللق الشيكة لسهدي ها ]ذا كانت 
الطععات 'اللاملكية الماك تفيل إشاراتها بشكلٍ صحيح وعلى القنواث 
الراديوية الصحيحة. يتوجب على المدراء أن تحير بشكلٍ دوزي داخل بناء 
الشركة وفي حَرَمِها نقاط النفاذ الخبيثة طرقٌ النفاذ المحظور الخو 

قد تفكرُ الوكالاتٌ الحكومية أيضاً باستخدام طرف ثالثِ مستقلٍ لإدارة 
عمليات تفتيش أمن المعلومات. إن مستشاري الطرف الثالث المستقل هم غالبا 
أكثرُ عصرية بشأن الئغرات الأمنية» وهم مدربون بشكل أفضل فيما يخص حلول 
أمن المعلومات» ومجهزون بما يلزم لتفحص حماية الشبكة اللاسلكية وتقييمها. 
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سيساعد التفتيش من قبل الطرف الثالث المستقل» الذي قد يتضمن اختبار اختراق 
الوكالة» فى التأكد من أن شبكة (411.آ/17) خاضعة لإجراءات وسياسات الأمن 
المعتمدة» وأن النظامٌَ متطورٌ بشكل يتلاءم مع تحسينات وتحديثات ورقع 
البرمجيات الأخيرة. 


استنتاجات 


إن كل من الأجهزة اللاسلكية» وشبكات (472.آ/1) والثغرات هى هنا 
لتق تكد تطريقات جديدة أكقر فأكثر مستخدعة الثقنية الالاسلكية وصقش” غير 
السوق. سيتزايدٌ الطلبُ على شبكات 07/143 في السنوات المقبلة» مع 
جهودنا في جعل جميع هذه الأجهزة الجديدة تعمل بسهولة تامة لخدمة 
المؤسسات. وكلما كانت المنظمات أسرع في تعميم التحديات المتعلقة بشبكات 
(41319.آ177)» كان أمنها أقوى. إن بعضاً من الثغرات والتهديدات هى نفسها لدى 
الجميع لأن البائعين باطيقوة هار( 80211 مودق اعرد تعيم انث السلفاة 
الأمن. فالمشكلات التاريخية والموثقة جيداً هى نفسها من جهاز إلى جهازء 
رعو أن جيك اللمشعيلك زالناتم ولكده مبتكلة لمالكن شبكة [51513 الجدد 
لعدم خبرتهم بها. 


تخطيط تقادم البيانات وإدارته 


ستواجه المنظماتٌ التي تمتلكٌ أو تستخدمٌ قواعدَ بياناتِ ضخمة 
ومستودعات معلومات» نفقة كبيرةً فى الثلاث إلى السنوات العشر المقبلة نظراً 
إلى أن بيانات التعاملات التجارية السابقة قد أصبحت قديمة وتقتضى التقاعد 
بعيداً عن التداول اليومي أو عن أنظمة الإنتاج. 1 لخد سو نا سرعة 
تولد المعلومات الجديدة ‏ وبالرغم من تقنيات تخزين المعلومات الجديدة 
اللافتة للنظر التى تبدو أنها تستحدث كميات غير محددة من السعة ‏ فمن 
المبطق :قن نقطة نا امن الود اذ تزاح المعلومات التي عمرها خمسء أو 10 أو 
0 سنة باعتبار أن قيمتها منخفضة. 

من وجهة نظر أمن المعلومات»ء تُتَلّلُ المعلوماتٌ التي تُزاح أو تُزال من 
منظومة الشبكة» احتمال النفاذ المحظور لمعلومات تلك المنظومة» ولكنها 
تخلق فرصاً جديدة للسرقة» أو الضياع» أو الأذى ولكن بطرقٍ أخرى. إن ابتداعَ 
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عملية رسمية مع إجراءات عديدة لتأكيد أمن المعلومات» بما في ذلك نظام 
رقابة وتفتيش هي عناصر هامة لضمان أمن المعلومات. 


على سبيل المثال» إن المعلومات التى تكون فى حيازة البنك حول 
عات الاسم كاسن سيت وه رن علي عن ادر لبدو كر ذا يعدا 
عن الموقع في مكان آمن. وإذا اقتضت الحاجة إليها - ربما في تحقيقات ضريبة 
أو دعوى قضائية - فسيكون من الممكن استرجاعها واستعمالهاء ولكن ربما لن 
يكون هذا ممكناً إذا كان خزنها غير مدروس. 

فمثلاء إذا ضاع فهرس الملفات الرئيسي أو خُرّبَء فإن البنك قد لا يعلم 
أين يبحث عن الملف في الأرشيف. أو لنفترض أن الفهرسٌ صالحٌ للاستعمال 
إلا أن وسائط التخزين». مثل الشريط المغناطيسي أو 2-80134©) أو القرص 
المغناطيسي» التي تخعويئ غلى الملف قد أزيلت من مرفق التخزين: حتى أسواً 
من ذلك» من المحتمل أن يكون الملف قد نسخ من قبل مستخدمين غير 
مخولين بذلك» ومن ثم أعيد إلى مرفق التخزين بدون أن يلاحظ ذلك أحد. 
لقد نْقِلَتِ المخاطرٌ إذاً من نظام الإنتاج إلى نظام الأرشيف. 

كذلكء ماذا عن بنى الملفّاتِ البرمجية أو المادية التي تتغير مع التقدم 
السريع للتطورات التقنية؟ ففي عام 1980» كانت سعة خزن الشريط المغناطيسي 
عالي الكثافة 6250 خانة في كل أينش من طول الشريط. تُحَزّْنُ اليوم الأشرطة 
المغناطيسيةٌ المخصصةٌ لحفظ البيانات 100 مرّة تلك الكثافة» وبعدَ سنواتٍ قليلة 
تستجاوز ال:1000:ة. حل يمكق النسادة اليانات الى حريت علق نبشية 6250 
ونه من تحديد على فيه جدينة؟ تسو ولكن يندقة مكدة طلم على الخل: 
التي تحتاج هذا التحويل. إذ ستَبدَل غالبا تجهيزات الحاسوب المتقادمة تقنياً 
بأنظمة جديدة لا تتوافق مع أنواع وسائط التخزين والبنى البرمجية القديمة. قد 
يكون تحويل القليل من الأشرطة أو الملفات ممكناء عن طريق التعاقد مع 
شركة يستعان بها فى ذلك» ولكن ماذا لو كُنتَ تمتلك 50,000 شريط أو قرص 
ليزري (02-80315)؟ ماذا لو أنك لم تعرف أيَاً منها يحتوي البيانات التي 
تبحث عنها؟ فيما يتعلق بالشركة الضخمة جدا التي تمتلك العديد من «التيرا 
بايت» من المعلومات القديمة» فإن التكلفة قد تتجاوز مئات ألوف الدولارات 
لتحديث فهارس التخزين». وتحديث الأشرطة» و(2-10134©)» وأجهزة ذاكرة 
(1158) بشكل مستمر لضمان الملاءمة مع البنى والأجهزة الحديثة. 


إههاا 


هناك عدد من المفاهيم الواجب استحضارها في الذهن دائماً عند التعامل 
مع أمن المعلومات المتقادمة: 

1. عَيْنْ «أعماراً « أو «حياةً» لاستخدام المعلومات» وقُمْ بحفظ (أرشفة) 
المعلومات غير الضرورية بشكلٍ دوري. 

2. استخدم نظاماً منطقياً لفهرس المحفوظات (الأرشيف) لجميع الملفات 
يد سهؤلةا نكان الئلك ار متجموعة الملفاج»ه كن لو نقد الفيوين 
الرئيسي أو حرم» 

3. اضمن أن لا يقوم نفس الأشخاص بعمليات النسخ.» والفهرسةء 
والحفظ » والفخقق يل عده يعاس ف لفحم كل واد مني ففل 
الآخر. 

4. قم بتأدية مراقبة عملية حفظ المعلومات المتقادمة والتفتيش عليها من 
خلال تجربة إمكانية استعادة البيانات المحفوظة (المؤرشفة) إلى بنى 
وأجهزة جديدة. 

5. اضمن أمن مواقع المحفوظات البعيدة عن نظام الإنتاج - استخدم 
موقعين اثنين على الأقل لضمان احتمال المحافظة على المعلومات - 
من خلال اختبارات وتدقيقات من قبل طرف ثالث. 

6. عند تحديث التجهيزات الحاسوبية (شريط مغناطيسى أو قرص 
الفدري: )6 مار نا دعيو ال سنن" لعي لني اناف لجافنية لان تعاض 
المفكة: لغقليل التكلنة”والجيد اللازميين لتعنيت معلوماة 
المحفوظات القديمة. 

تخطيط وإدارة بروتوكولات البيانات الاحتياطية واسترجاعها 

بينما يبدو الأمرُ بسيطأ من حيث الفكرة» إلا أن حفظٌ وصيانةً كمياتِ 

كبيرةٍ من المعلومات كنسخة احتياطية كل يوم (أكثر من خمسة غيغا بايت 
يوميا» يتطلب بروتوكولات تكرار وعملية مهمة لضمان قدرة الأنظمة على 
العمل عند وقوع حوادث غير متوقعة. إن عمليات استعادة المعلومات ضرورية 
عندما تصاب تجهيزات الحاسوب بخلل كهربائي أو ميكانيكي خطيرء أو حينما 
تقع حوادث بيئية (مثل حادث انفجار أنابيب مياه إطفاء الحريق مغرقة بذلك 
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فوقة الحاسيوق) أن عندما شه اغوذاءاك: نخيلة ذه المتظمة: ومتشانها: 


إن حفظ نسخةٍ احتياطية عن معلوماتٍ نظام يعمل (247) بدونَ توقفٍ 
يجب أن يُدرِجٍ ضمن خطة تأخذُ بالاعتبار أنَّ بعضاً من البيانات لا يمكنُ حفظها 
بيه الطيهة: المغلف: ا البيانات: العلائقية ية التي 0 ا أثناء 0 
0 في إنتاجية ال ورضا الزبون. 


وشو ع كد البو دسا اك المقاودات التي تُسترجّع: هل 
الذي يقتضي الاسترجاع ملفٌ واحدّء أو سواقة فرص واحدة» أو نظام واحدء 
أو أن كل شيء يستدعى ذلك؟ هل تغطي فترةٌ الامتعادة توما واحداء. أ 
أسبوعاً أو شهراً؟ أو أكثر؟ هل من الضروري جلب أشرطة أو أقراص حفظ 
البيانات إلى غرفة الحاسوب» أو أنها موجودة داخل الغرفة؟ هل هناك من 
يعلم أين حفظت الملفات الاحتياطية» وما هي تلك الملفات» وعلى أي من 
وسائل التخزين؟ 
يصبح موضوعٌ حفظ البيانات واسترجاعها موضعٌ اهتمام الإدارة بعد 
تمويلها ميزانيات ضخمة لتقنية المعلومات ولعدة سنوات» أو عندما لم يعد 
ممكناً استرجاع البيانات بسبب أعطال في الأجهزة؛ أو عندما تُفْقَدُ أو تَنمّصُ 
بعض الملفات أو البيانات من وسائط تخزين المعلومات الاحتياطية أو 
المحفوظات» أو عند إحفاق الأعمال التجارية. من وجهة نظر أمن المعلومات 
إن عدم القدرة على استعادة المعلومات عند الحاجة إليها ‏ مهما كان السبب - 
يضع المنظمة موضع خطر كبير نظراً إلى الأثر المالي أو فشل العمل. 
ما الذي يتوجب فعله لتقليل مخاطر فقدان البيانات وأثارها في العمل بسبب 
رداءة عمليتي الاسترجاع وحفظ البيانات؟ من الممكن إتباع طرق عديدة منها 
1. استَخْدِمْ قاعدةً النسبتين المئويتين  20(‏ 80) كي تُحَدْد ما الذي يتوجب 
حفظه يومياً (أو في كل ساعة) وما الذي يَحْثَمِلُ الانتظار فترةً أطول. 
2 اخْتَبرْ أنظمة الأشرطة المغناطيسية والأقراص الليزرية أسبوعياً لاكتشاف 
3 أعطال أو أي وثوقية غير نظامية. 
3. اختبر كلَّ نسخ البيانات المحفوظة على أنظمة قراءة مختلفة لضمان 
إمكانية قراءتها في أي نظام»ء وليس فقط النظام الذي كتب الملفات. 
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4. ضع لصاقة واضحة على كل وسيلة تخزين» مستخدمة لحفظ البيانات» 
مع فهرس بأسماء الملف وأنواعه. 


5. احفظ جميع وسائل التخزين المستخدمة لحفظ البيانات في مكان آمن 
ومحمى» بعيداً عن التحريفء أو السرقة أو التلف العرضى. 


6. حضر نسخا عديدة من الفهارس» واحفظها في أماكن أو خزائن مختلفة 


امنة. 


7 اجعل صانعي الأجهزة يتحققون كل ستة أشهر من أن معداتهم تعمل» 
ووسائط التخزين تُستخدم بشكل صحيح» وأن عمليات الاستعادة ناجحة. 

8. من وجهة نظر أمن المعلومات» اضمن أن عمليات النظام لن تُعاق 
بسبب فقدان البيانات أو فقدان سعة المعالجة الناتجة من اعتداءات أو 
انتهاكات أمنية. 


استخدام المؤثرات البيولوجية 


يشير قياس المؤثرات البيولوجية إلى التقنيات التي تميز أعضاء الجسم 
البشري وتتحقق منها أو من خصائصها أو عملها. تتضمن هذه التقنيات قارئات 
بصمة الإصبع» وفاحصات الوجهء. والفاحصات الشبكية». وقارئات بصمة 
الصوتء. والتوقيع. تعمل هذه التقنيات على مقارنة النموذج الرقمي المزوّد من 
قبل المستخدم والتحقق منه أوتوماتيكيا مقارنة بقاعدة بيانات الهويات 
«المعروفة». إذا كان هناك تطابقٌ». فإن المستخدم يُعترف به واتُثبّت هويتها» أما 
إذا لم يكن هناك تطابقٌ» فإن النظام يحفظ المعلومات الرقمية من أجل المعالجة 
الإضافية لتحديد من هو ذلك المستخدم. 

لقد كانت تقنية استخدام المؤثرات البيولوجية في حافة القبول لسنوات 
عديدة» إلا أن التكاليف المرتفعة والتساؤلات حول وثوقيتها قد قيّدت انتشارها 
تجخازناً على نطاق واسع. أثناء السنوات الخمس الأخيرة تمّت معالجة هذه 
المواضيع من خلال التحسينات التقنية للايجابيات الخاطئة (تمييز شخص على 
أنه شخص آخر خطأ). وعمليات الرفض الخاطئة (رفض الشخص الصحيح 
خطأ). وبالتالي أصبحت هذه التقنية الآن تتمتع بنسبة نجاح مقبولة تساوي 
9 المطلوبة من أجل التطبيق التجاري. 
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فنية طرى ١‏ االحهانة 7 الثبو لوجية ‏ والعدة عو" اقفر طرى الاق اناه 
باعتبارها تتحققٌ من أمر تقوم به أو من أمر هو جزءٌ منك. على سبيل المثال» 
إن توقيعك وطريقة ضربك على الحاسوب هو أمرٌ تقوم به» أما بصمة إصبعك 
أو معالم وجهك أو صوتك أو شبكية عينك. فهي جزء منك. إن أجهزة 
التحقق من المؤشرات البيولوجية أفضل بكثير في حماية الدخول من كلمات 
المرور أو الوسائل الفيزيائية مثل المفاتيح والإشارات لكونها أكثر صعوبة في 
السرقة أو المشاركة. 

تعطي التقنياتُ البيولوجية» عندما تُدمجُ مع طرقٍ تعرّفٍ أخرى» حماية 
قوية من الدخول المحظور إلى المعلومات والأنظمة والشبكات. 

يصنف عادة قياس ا البيولوجية إلى أربعة مجالات: 

2 التنفرد: يجب أن لا يملك شخص آحخر الميزة ذاتها. 

3. الاستمرار: يجب أن تكون الميزة ثابتة عبر الوقت. 

4 قابلية القياس: يجب أن تكون الميزة قابلة للقياس كميا 

يتفحص مزودو النظام» عند انتقاء الطريقة البيولوجية للتحقق من الهوية» 
أداء الجهاز (السرعة» والدقة» والوثوقية) ومدى حيازته لقبول المستخدمين (هل 


هو موز أو خطير أو مهين) والمرارعة الممكنة عليه (إلى أي درجة يستطيع 
المستخدمون خداع النظام). بغض النظر عن نوع الجهازء فإن عملية التثبت من 
الهوية تعمل بنفس الطريقة وهي: 

سحل وقد مون العيرة الور تفي ااسكسن سحل إلى رعو ععبينا من 
لام في «المطابقة» لاحقاً. عندما يرغبٌ المستخدم بالدخول إلى النظام 
0 عيّنةٌ جديدةً - مثل بصمة الإصبع ‏ وتقارن بالعينة السابقة» إذا تطابقت 
يُسمحُ للمستخدم بالدخول» وإذا لم يحصل التطابق فإنه قد يُسأل سؤالاً 
صعباًء أو قد يُطلب منه تقديم عيّنة أخرى للتحقق من هويته» إذا فشل 
التطابق الثاني يمنع من الدخول. 

أين ينبغي استخدام التقنية البيولوجية؟ بالرغم من أنها قد تستخدم أينما 
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كان» إلا أن أكثرَ الأماكن فائدةً بالنسبة إلى التكلفة هى حيث يجب التثبت من 
هوية المستخدم بشكل جازم. من الأمثلة: صرف الصيدلي لوصفة طبية حساسة» 
أو التاجر المالي العكين لنقل ملايين الدولارات في التجارة كلّ يوم» أو 
الأشخاص ذوو الحاجة إلى التحقق من التصاريح الأمنية» أو السجناء المدانون 
الذين قد يملكون اسماً أو مظهراً مرئياً مشابهاً لشخص آخر لمنعهم من مغادرة 
السجن بدلا منهم. 

أما في عالم تقنية المعلومات فتتضمن تطبيقات الأمن النموذجية التحكم 
في الدخول إلى منشآت وغرف الحاسوب. والنفاذ إلى أنظمة الحاسوب 
وشبكاته. وكطريقة لكتابة الاسم والتوقيع للمستخدمين الذين يستخدمون أنظمة 
متعددة مع طريقة واحدة للتثبت من الهوية. 


البطاقات الذكية 


إن البطاقات الذكية هي أجهزة نفاذ بحجم بطاقة الائتمان» وتستخدم كأداة 
ذاكرة قابلة للحمل والمحىء. وهى معروفة بأسماء مختلفة. يمكن استعمال 
الإطافة الاكعةالم كين الجوومم اليؤسرات الببو لوجي ون مسري البطافة 
الذكية على خوارزميات تعمية» أو صفات مميزة بيولوجية» أو سيرة الشخص 
الصحية» أو عمليات الشراء السابقة له. أو معلومات أخرى تعرّرُ أمكانية 
المستخدم في النفاذ إلى المعلومات بطريقة مريحة وآمنة (بدلاً من حمل 
حاسوب شخصي صغير مثلا). من الممكن إعادةٌ برمجة البطاقات الذكية أثناء 
استخدامها بحيثُ تُخَرَنُ فيها رمورٌ مشفرةٌ جديدةٌ في كلّ مرةٍ تُستعملٌ فيهاء 
وهذا يزيد فعلياً من صعوبة استعمالها بشكل غير نظامي. 

يكمنٌ السببٌ وراء أهمية هذه البطاقات في أنها تزيد الخيارات التي 
تمتلكها الإدارة في ترقية النفاذ إلى النظام من كلمات السّر فقط إلى مجموعة 
من التقنيات ومن رموز تحددُ هوية المستخدم. فالبطاقات الذكية وشخيضة تسيا 
(حوالى 5 إلى 20 دولاراً)» وهي ريص إوذات عدر طؤيل» قهبياً: قد يستلزم 
الانتقال من نظام كلمة السّر فقط إلى نظام معزز بيولوجياً استثماراً قدره 250 
دولاراً إلى 500 دولار لكل محطة عمل. إن الترقية إلى نظام البطاقة الذكية 
أرخصٌ بكثير» ولكنه بالطبع لا يقدمٌ المزايا التي تقدمها البيولوجيا. 
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فحص نظام أمن المعلومات 

ا إلى م هذا للحن غالباً بار ارام أو : سَبْرُ الاستجابة». إن 
يجب أن تكون جاهزة هي فعلا جاهزة. بجرى قحس نظام أمن المعلومات هل 
نظام التشغيل. يُؤْدَّى هذا الفحصٌ لارام د اسعد اشصار وك 
أمن معلوماتٍ متخصصة لتجنب التأثير الإداري أو السياسي ء غير الضروري. تجرى 
هذه الفحوصات فى حالة أنظمة المعلومات التى تتطلب سرية عالية» وتجرى على 
أساس عشوائي ولكن مستمر للتثبت من استعمال آخر رُقَع البرمجيات» وإغلاق 
بوابات جدار النار غير اللازمة» وتقادم كلمة السَّرء وتفاصيل أخرى. 

يجب على إدارة أمن تقنية المعلومات في المؤسسة أن تخطط للقيام 
بعمليات فحص روتينية لضمان أن نشاطات النظام التشغيلية لم تَخْلِقَ فرصاً أو 
افتضاحات للنفاذ» فالقراصنة والمخترقون يبنئون العديد من اعتداءاتهم على 
«افتراضات» يفترضها مديرو أمن المعلومات مثل: أن رقع البرمجيات قد 
نُصِبَتْء وأن أجهزة المودم غير المستخدمة قد أزيلت» وأن كلمات سر 
الموظفين الذين تركوا المؤسسة قد حذفت. 

نُصَئْفَ نتائجحُ الفحص في ثلاث فتات: «عالية» أو المتوسطة» أو «منخفضة» 
تتغاء لجقاسية النتيجة. يستجاب إلى النتائج العالية وتُحَلٌ فوراء أما النتائج 
ل فيسحات إلبها 'تبعاً [الاسكانيات ا وتّحلُ النتائج المنخفضة 

يجبٌُ أن تُتابعَ الإدارةً العليا والمدراءٌ التنفيذيونَ نتائج الفحص» وأن 
يلتمسوا التفاصيل حول ما تم القيام به للاستجابة إلى كل نتيجة من نتائج 
فحص أمن المعلومات. إن قيامَ المدراء بعقدِ اجتماعات شهرية هي طريقة 
يُحَبَّذُ إتباعها لفهم ما يحدث (أو ما لا يحدث) ولماذا. ونظراً إلى وجود 
استثمار واضح لمالٍ ولوقت الإدارة في عقدٍ هذه الاجتماعات. يجب أن 
تلان عنيا امتكيان: إلى تخطي تكاقلات "ميو نوا لاد الجعلياف رلكق 
نظراً إلى الطبيعة المستمرة للاعتداءات على أمن المعلومات» وللتطور المستمر 
في طرق الاستجابة لها وصذهاء سيكون غريباً عدم تناول عدة بنود «عملية» 
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لمناقشتها في هذه الاجتماعات على المستويين الإداري والتقني للمنظمة. 


هيكل الممارسات الأفضل 


الممارسة الأفضل (المثلى) 
تحقق من أن كل الأنظمة قد رُوّدَت 
بأحدث ترقيعات بريجيات أمن 
المعلومات وأنها تعمل. 
تأكد من أن بنى أمن التطبيقات 
ونظام التشغيل على جميع الأنظمة 
العاملة لا تعدّل أو تُغيّر إلا من قبل 
مدراء النظام» وتحقق من ذلك 
تحقق من وجود سياسة التعامل 
مع البيانات المتقادمة وتأكد من 


ختبر جميع أنظمة حفظ البيانات 
واستعادتهاء وتأكدمنأن 
لممارسات المتعلقة باسترجاع 
لبيانات تعمل 

تأكد من استلام جميع تراخيص 
لبرجيات وأن تكلفة الصحيح 
منها تدفع في وقتها. 

تحقق من أن عمليات التحكم بالنفاذ 
للنظام معقولة وأن تعريض أمن 
المعلومات للمخاطر قد تم تجنبه 


تأكد من أن نقاط النفاذ اللاسلكية 
تمتلك تعمية بمفتاح طوله 64 خانة 


على الأقل وأنها قد وُضِعَت بعيداً عن 
الأماكن غير الآمنة 

عطل خيار بث ١مُعَرُف‏ مجموعة 
الخدمة»««5511) من نقاط 


النفاذ اللاسلكية 

حدد ما إذا كان اعتماد طريقة النفاذ 
بالبطاقة الذكية أو بالمؤثرات 
البيولوجية مناسباً تبعاً لقيمة 
المعحلومات وعدد المستخدمين/ 
الزبائن الذي قد يتأثر. 


١ 


لحساسية | التكرار 


عالية عند الحاجة 
عالية شهرياً 


عالية 


عالية شهرياً 


عالية 
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المشاركون 


أمن المعلومات» 
إدارة النظام 


أمن المعلومات» 
مدراء النظام 
الإدارة» أمن 


المعلومات 


أمن المعلومات» 
مدراء النظام 


الإدارة» المالية» 
مدراء النظام 


الإدارة» المالية» 
مدراء النظام 


أمن المعلومات» 
مدراء النظام 


الإدارة» المالية» 
مدراء النظام 


نتائج النشاط 
رقع برمجيات محدثة على 
جميع الأنظمة بأسرع وقت 
مكن 
إمكانية إدخال التغييرات 
مقصورة على المدراء فقط 


حفظ (أرشفة) البيانات 
حماية كافية. 
القدرة المؤكدة حفظ 
البيانات واستعادتها 


تراخيص البرمجيات 


الثقة في السماح بالنفاذ 
للشخص الصحيح وفقا 
بيات 
تعرض أقل للاعتداء 
اللاسلكي والتفاذ 
المحظور 


تَعَوْضُ أقل للاعتداء 
اللاسلكي وللنفاذ 
المحظور 
حدد إذا كان ينبغي 
تحديث طرق أمن 
المعلومات بسبب تغيير 
أوضاع الشركة 


الملخص 

تستمرٌُ منتجاث تقنية أمن المعلوماتٍ بالازديادٍ من حيث التعقيدٍ والأداء 
والمقدرة وذلك تلبية لمتطلبات السوق. لقد أصبح ما تقوم به هذه المنتجات» 
على مدار 7/24» أمراً مذهلاًء فهي تمنع النفاذ غير المرخصء وتراقب 
النشاطات الاقتحامية مع إيجاد الدليل لدعم الادعاء» وتنقل عدة جيغا بايت من 
البيانات بشكل شبه فوري. إلا أن هذه الأنظمة هي مجرد أجهزة الكترونية» فهى 
طني قييانا :زدغها عتسيا كنا انها لني اليف امعدرار وقبل كل 
شيء إنها بحاجة إلى إدارة موجهة. 

إن الحرب العنيفة القائمة بين المجموعات والأشخاص الذين يحاولون 
النفاذ إلى أنظمة وأصول المعلومات التي لا ينبغي لهم الوصول إليهاء 
والمنظمات التي تعمل بجد لإبقائهم بعيداًء هي معركة تكاد تكون مجهولة لدى 
المدراء التنفيذيين والإدارة العليا لانهماكهم بإدارة العديد من المسؤوليات 
الأخرى. تُبَلْعْ الشركات الصغيرة في الولايات المتحذة عن 200 إلى 500 
اصطدام بجدران نارها كل ساعة من قبل محركاتٍ بحث اقتحامية غير محددة 
تسعى إلى إيجاد ثغرات فى جدار نارها للنفاذ من خلالها. من الصعب تصور 
وجود فغات الآلاف من :عملياك البحث الاقتحامية كل يوم» والتي تتفاداها 
المنظمات الحكومية والمالية الضخمة بنجاح» ويعود ذلك إلى عدم الإعلان أو 
التنويه عن هذه العمليات في وسائل الإعلام العامة. 

يبدو واضحاً أن الجمع بين التقنية» والنظرة المنطقية» والاهتمام 
بالتفاصيل» قد خطا خطوات متقدمة نحو سد معظم الثغرات الكبرى في البنية 
التحتية لأمن المعلومات. إن الثغرات ستبقى ولكن جعل الثمرة أصغر من الجهد 
اللازم للحصول عليها يمنع القراصنة عادةً من إضاعة وقتهم في كسب القليل. 

سيحتاج كبارٌ المدراء والمدراءٌ التنفيذيين في السنوات المقبلة إلى أن 
يصبحوا أكثرٌ دراية بالمصطلحات والمفاهيم الأساسية لأمن المعلومات كي 
يدركوا بشكل أفضل دواعي دعمهم للاستثمارات المتزايدة في الأجهزة 
والموظفين. ووفقاً لخبراء في القانون وفي التقنية وفي الأعمال» سيبقى أمن 
الحاسوب جزءاً هاماً في عمل أي منظمة لعقود قادمة. 
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الفصل السابع 


مواد ومواقع مرجعية 


تصريح مكتب التحقيقات الفيدرالي الأمريكي 
حول . حسين أمن المعلو مات 
تصريح جيمس أي. فرنان» نائب مساعد ا مدير» في قسم شبكات 
التلاعب ونحسين أمن ا معلومات» وذلك بتاريخ 3 نيسان» 2003. 
قم هذا التصريح أمام جنة ا خدمات المالية التابعة للبيت الأ بيض » 
واللجنة الفرعية حول ا مؤسسات االية وائتمان الستهلك» وأمام 
جنة ا مراقبة والتحقيقات» فى واشنطن ).(1 


(2003 ممقصموط) 


«أشكركم لدعوتي هنا اليوم لأفيد حول موضوع «محاربة التلاعب: تحسين 
أمن المعلومات». إن عقدَ هذه الجلسة» لسماع الشهادات» يثبت التزامكم 
بتحسين أمن أنظمة معلومات أمتنا ودعمّ هذه اللجنة للقضية في «الكونغرس». 
إن عملنا هنا مهمٌ جداًء لأن المخاطر المتضمنة جسيمة. ستعالجُ شهادتي اليومَ 
باعتبارها تتعلق بطيفٍ واسع من الأعمال الإجرامية المتعلقة بالغش وأمن 
المعلومات. يوجد اليوم أكثر من 180 مليون مستخدم للحاسوب في الولايات 
المتحدة وحدهاء كما يوجد أكثر من 600 مليون في أنحاء العالم» والعدد في 
ازدياد. إن العديد من هؤلاء المستخدمين يتصلون بالإنترنت» ويتواصلون مع 
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بعضهم الففن + وزلايووك تدلاه" ويكيرقررة على قووة عالية. عن 
المعلومات» ولسوء الحظ يرتكبون الجرائم. 
ثغرات شيكات الاتصال الالكتروني 

إذأأئ شكمن مدئ افعناما أساسيا بالحائضرت سيكوة ندركا لرجود 
ثغرات أمن العامة على الأقل بمعناها العام» في شبكاتنا وحواسبينا. 
تُنافشٌ هذه الثغرات بشكلٍ واتبع في وسائل العامة وباستخدام بسيط للبحث 
على الإنترنت» سطع لكل سم ةا عاماً اكتشافٌ أدوات قرصنة مختلفة» 
ومن ثم تحميلها واستعمالها. عندما رأينا في البداية الازدياد المفاجئّ في 
الحواسيب المنزلية في أوائل 0 لم نقلق بشأن الاعتداءات على حواسب 
أسزناء لم .يكق' أغلت «الستخدمين غير الرشتييق مذركين حتى. لوجوه التغراك 
الأمنية. إننا نقلقٌ اليومّ من إصابة أنظمتنا بالفيروسات؛» والديدان وأحصنة 
طروادة. تقوم الشركات بحماية المواقع والصفحات الالكترونية من الاعتداءات 
وعمليات التشويه. إن المستهلكين قلقون أن لا تكون الشركات محافظة على 
حمايةٍ كافية لمعلوماتنا المالية والشخصية.» إذ نسمع تقارير إخبارية أسبوعية 
حول القراصنة واقتحامات جديدة. 

تعتمد الشركاتٌُ والمستهلكون الأمريكيون بشكل متزايد على الإنترنت لعقد 
صفقاتهم» فالتجارة الالكترونية تنمو في جميع قطاعات اقتصاد الولايات 
المتحدة. إن أغلب صفقات التجارة الالكترونية هى من شركة إلى شركة». ولكن 
مبيعات الفجركة للتجارة الالكتوونية ومجلنة إلى :26 بليون دولار ف عام 
2م. وأكثر من 36 بليون دولار في عام 2001م. عندما يتوقفف عمل 
مستخدمى الإنترنت - سواء أكانوا شركات أو مستهلكين ‏ بسبب أعمال الغش 
أو التزوير على الإنترنت» فإن نجاح التجارة الالكترونية مهدد بالإخفاق. 

إن اختراقات الحاسوب فئة مختلفة عن أغلب أعمال الغش أو التزويد. 
فالعديد من الانتهاكات لا يتم الإبلاغ عنهاء لآن الشركات تخشى خسارة 
التجارة بسبب فقدانٍ ثقة المستهلكِ في إجراءات أمن المعلوماتٍ لديهاء أو 
بسبب الخوف من الادعاءات القضائية. إن أغلبَ قضايا انتهاكات أمن المعلومات 
الفشورة البوه سي لقيخة انسل #رقيع اللغرانه الليعروفة الين وق الها قارف 
الرقع. قد تتيسر سرقة معلومات المستهلك من نظام الحاسوب بطريقتين: 
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بوساطة المطلعين العاملين من داخل المؤسسة أو من قبل القراصنة الغرباء. 
يمتلك المطلعون دوافع مختلفة» بما في ذلك المكسب أو المال» أما الغرباء 
فيدفعهم عادة التحدي و/أو الطمع. 


أصدر مجلس البحث الوطني بياناً في عام 2001م بعنوان «أمن شبكات 
الاتصال الالكتروني اليوم وغداً: ادفع الآن أو ادفع لاحقاً». إذا لم تطلعوا على 
هذا البيان فإني أحثكم على اقتناء نسخة منه. يصوغ البيان مجموعة من النقاط 
الهامة» والملاحظات العامة» بما فى ذلك نقطة جوهرية من أجل هذه الجلسة: 

الانطظ ايض أن المعتدى: :نقد يكون"كادرا على ابسحلال بقطا أخورة 
مصادفة في النظام» فتصميمُ النظام و/أو التطبيقٌ الرديء قد يؤدي إلى مشاكل 
أمن معلومات خطيرة» ربما تكون قيلاقاً أو زنهنا تستيداف عمداً فى محاولة 
اختراق من قبل المعتدي». 

إذا كانت حمايةٌ النظام غيرَ كافية» واختار شخص ما استغلال نقاط 
الضعف. فإن العواقب ستكون حتمية. ووفقا لهذا البيان توجد ثلاثة أشياء قد 
تحبط نظام الحاسوب أو الشبكة : 

1. قد يصبح غير جاهز أو بطيئاً جداًء أي أن استخدام النظام أو الشبكة 

2. قد يصبح محرفاً ويقوم بالشيء الخاطئ أو يعطي إجابات خاطئة. على 
سبيل المثال: قد تصبح البيانات المخزنة على الحاسوب مختلفة عمًا يجب أن 
تكون» وهذا مشابه لحالة تعديل السجلات المالية أو الطبية الورقية بشكل غير 
ملائم. 

3. قد يصبح راشحاً. أي أن الشخص الذي لا ينبغي له الوصول إلى بعض 
أو جميع المعلومات المتوفرة على الشبكة يصبح قادراً على ذلك. 

عندما تحدث واحدة من هذه الأشياء» فإن مكتب التحقيقات الفدرالى هو 
الجهة المعنية بالاستجابة» لأنها الوكالة الفيدرالية الوحيدة التى تمتلك السلطة 
المضادة» والموارد اللازمة لإبطال الأعمال الإجرامية» والحد من العمليات غير 
القانونية التي تستهدف الحاسوب. 
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قسم شبكات الاتصال الالكتروني في مكتب التحقيقات الفدرالي (581) 


تتضمن إعادة تنظيم مكتب التحقيقات الفدرالي للسنتين الأخيرتين هدف 
جعلٍ الموارد الاستخباراتية لشبكات اتصالنا الالكتروني أكثر فعالية. في عام 
2م أدّت إعادة التنظيم إلى تأسيس قسم شبكات الاتصال الالكتروني في 
المكتب. 


يعالج قسمٌ شبكات الاتصال الالكتروني تهديدات شبكات هذا الاتصال 
معالجةً منسقةً سامحاً للمكتب بالبقاء» من النواحي التقنية» متقدمأ خطوة على 
خصوم شبكات الاتصال الالكتروني ومهدديها. يتعامل قسم شبكات الاتصال 
الالكتروني مع جميع انتهاكات الاتصال الالكتروني التي لها غالبا تبعات عالمية 
وانعكاسات اقتصادية وطنية. يدعم هذا القسم أيضاً أولويات المكتب في إطار 
برنامجه فى محاربة الارهاب» والاستخبارات المضادة» والتحقيقات الإجرامية 
الأخرى عنذنا فكوة الإغانة الانتخارية العدة“مظلرية .مهد الفكسم. بان توفر 
لديه حبراءًٌ ذوو مهارات تقنية متخصصة يركزون على القضايا المرتبطة بشبكات 
الاتصال الالكتروني. 


إننا نتناول في قسم شبكات الاتصال الالكتروني منهجيةً مؤلفةً من اتجاهين 
للمشكلة. يتعامل الاتجاه الأول مع النشاط الإجرامي التقليدي الذي انتقل إلى 
الإنترنت» مثل الغش أو التزوير على الإنترنت» وسرقة الهوية على الخطء 
والكتابات أو الصور الإباحية عن الأطفال على الإنترنت» وسرقة أسرار 
التجارة» والجرائم المشابهة أخرى. يتعامل الاتجاه الآخر غير التقليدي مع 
الأنشظة الجديندة التي أتاختها الإنترتت و لم تكن مؤجودة قبل تأسيس 
الحواسيب والشبكات والإنترنت. يشمل هذا الاتجاه إرهاب «شبكات الاتصال 
الالكترونى»» والتهديدات الإرهابية» وعمليات الاستخبارات الخارجية والنشاط 
الأعراض امكل بافياكات الحاسرف قير القانونية درخل سبكات عاسوت 
الولانات "الميغنة حاتت ذلك تعظيل التجمليات الراضمة للكاسوب وسرقة 
البياناك الحسانة بواشطة الالعرقك» يترقع امكف اتعلبان تاديد شتيكانة 
الاتصال الالكتروني بسرعة» نظراً إلى أن عدد الفاعلين القادرين على استخدام 
الحواسيب لأغراض غير قانونية مضرة ومدمرة هو في ازدياد. 
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لإتمام مهمته؛ سيشكل قسم شبكات الاتصال الالكتروني تحالفات بين 
القطاعين العام والخاص معززة بالتدريب والتعليم ليزيد من قدرات الاستجابة 
لمهددات شبكات الاتصال الالكتروني أي: محاربة الإرهاب» والاستخبارات 
المضادة» وتطبيق القانون. سيزيد المكتب كذلك من نجاح تحقيقات شبكات 
الاتصال الالكتروني من خلال زيادة الوعي واستغلال التقنية الجديدة. 

إننا نضاعف جهودنا الاستخباراتية العالمية وبرامج تدريبنا على شبكات 
الاتصال الالكتروني لدعم هذه المهمة. وبالنتيجة فقد تم الآن خلق وحدات 
مخصصة في المركز الرئيسي للمكتب لتقدم تدريباً ليس فقط لفرق شبكات 
الاتصال الالكتروني للمكتب وحسبء وإنما أيضاً للوكالات الأخرى المشاركة 
فى الحملات الجديدة أو المرتبطة بهذه الشبكات التى يكون المكتب عضواً 
مشاركاً نبوا :طن ا العدويب الها الي الم فى المجال وستَدَرّس 
مجموعةٌ من المواد في أكاديمية المكتب في كوانتيكو. 

رفع القضايا إلى المكتب من خلال مركز الادعاء ضد التلاعب عبر 
الإنترنت (1100]) 16#مع0 أمتهامصده0 سوعط أعمعنم1ء الذي أَنْ'َتَ فى عامه 
الرابع رجنالعها قلي أنه دان ققافةة :اسح مفلنيا اتن عن 000 35 شكري في 
عام 2002م بشأن جرائم تتراوح من سرقة الهوية وانتهاكات الحاسوب إلى إباحية 
ضد الأطفال. 

إذا تلقى مركز (1500]) تقريراً بشأن اقتحام ما من شركة في بيرمينغهام - 
ألباما مثلاً فإننا سنحاول أولا تعيين مكان حدوث الانتهاك. قد تكون الخدمات 
الحاسوبية لهذه الشركة في منيبوليس» بينما يوجه المعتدي الهجمات من خلال 
مزودي الإنترنت في كاليفورنيا وأوروبا. إذا جرت قرصنة المخدّمات في 
مببر لي نان عو سوال لمر كو بو متيو لعي لكريم لكات الالضياك 
الالكتروني سيكلفٌ بقيادة القضية. قد تبدأ خيوط القضية في كاليفورنياء ولكنها 
تنتهي في أوروبا الشرقيةء أو نيجيرياء أو تعود إلى بيرمينغهام إذا كان أحد 
المعنيين موظفاً من داخل الشركة. سِيْطْلَبُ فريقٌ من فِرَقٍ الاستجابة للتحليل 
الحاسوبي التابع للمكتب (04121) تتنوةء1 ممه مو16 213:515مى نم انام مده لإيجاد 
الأدلة القضائية للحاسوبء وقد يُوْسَل هذا الدليل إلى واحدٍ من مختبراتنا 
الإقليمية الجديدة القائمة الآن في شيكاغو أو دالاس أو سان دييغو. سيحدد 
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المختبر مدى الانتهاك ومدته» وما إذا كان المعتدي ينطلق من داخل أو خارج 
القتزكة. قن ثحل الجتسالة فى “يضطة أياوع- أو نقد تاحل. دة ستواة تيا الحدكة 
المعتدي. تكون القضايا معقدةً بشكل دوري وتتضمن غالباً اتصالات عالمية. 

تفيدٌ القضايا التالية كأمثلة على الجرائم النموذجية لشبكة الاتصال 
الالكتروني: 


ريموئد تورب 8 4 المعروف ب «روليكس) : 
إن ريموند توريسيليء المعروف ب «روليكس». قائد فريق القراصنة 


المعروف ب 4#4002111617»». قد أدين بسبب اقتحام حاسوبين» بين أشياء 
أخرى» مقتنين ومصانين من قبل «مختبر الدفع النفاث» التابع للهيئة الوطنية 
لإدارة أبحاث الملاحة الجوية والفضاء الموجود فى باسديناء كاليفورنياء 
مكرّسةٍ للقرصنة. 

لقد اعترف توريسيلي أنه كان في 1998م قرصانَ حاسوب» وعضواً في 
منظمة القرصنة المعروفة ب 008111667 #4). أقر توريسيلي بأنه كان يستخدم 
حاسوبه الشخصي لتشغيل برامج مصممة للبحث في الإنترنت وللتحري عن 
الحواسيب القابلة للاعتداء. حالما يتم تعيين أمكنة مثل هذه الحواسيب» 
يحصل حاسوب توريسيلي على النفاذ غير القانوني إلى الحواسيب بواسطة 
تحميل برنامج معروف ب «رووت كيت») 1001 . إن ملف «روووت كبيت)») هو 
برنامج يسمح للقرصان عندما يشغل الحاسوب بإحراز النفاذ الكامل إلى جميع 
وظائف الحاسوب بدون أن يقوم المستخدمون المخولون لذلك الحاسوب بمنح 
هذه الامتيازات. 

استخدِمَ أحد الحواسيب الذي دخله توريسيلي من قبل الوكالة الوطنية 
لإدارة أبحاث الملاحة الجوية والفضاء (048548) لإنجاز تصميم القمر 
الصناعي وتحليل المهمة الخاصة بمرحلات الفضاء المقبلة» استُخدمَ 
الحاسوب الآخر من قبل قسم الأنظمة الأرضية للاتصالات كمخدّم الشبكة 
الداخلية والبريد الالكتروني التابع لمختبر الدفع النفاث. بعد إحراز الدخول 
المحظور إلى الحواسيب وتحميل «روووت كيت»)» استعمل توريسلي أاسمه 
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المستعار «روليكس» فى العديد من الحواسيب ليضيف مناقشات غرفة 
المحادثة (عمتاغهط) . ١‏ 

اعترف توريسيلي أنه دعا في هذه المناقشات المشاركين بالمحادثة إلى أن 
يقوموا بزيارة موقع إلكتروني يعرض فيه صوراً إباحية» وأنه كسب 18 سينتاً عن 
كل زيارة يقوم بها الشخص لذلك الموقع. لقد حصل توريسيلي تقريباً على 300 - 
0 دولار أسبوعياً من هذا النشاط. اعترف توريسيلي كذلك بجريمة اعتراض 
كلمات السّر وأسماء المستخدمين المتداولة على الشبكات الموصولة بالحاسوب 
المقتنى من قبل جامعة ولاية سان جوس. بالإضافة إلى ذلك» اعترف بجريمة 
الاستيلاء على كلمات سّر وأسماء مستخدمين مسروقة استخدمها للحصول على 
نفاذٍ مجاني للإنترنت أو لإحراز دخولٍ محظور إلى حواسيب أكثر. 


أقر توريسيلي أنه عندما كان يحصل على كلمات سر معماة (مشفرة)» 
فإنه يستخدم برنامج فك تعمية (كسر) كلمة الشّر المعروف ب «جون الممزق» 
تءممنظ عط1 صطه1 لفك تشفير كلمات السَّرء كما صرح بجريمة امتلاك أرقام 
بطاقات ائتمان مسروقة حصل عليها من أشخاص آخرين وخزنها على حاسوبه. 
اعترف توريسيلي أنه استخدم مثل هذا الرقم الخاص ببطاقة الائتمان لشراء 
خدمة اتصالات هاتفية بعيدة المدى. 

إن المزيد من الدلائل التي خصل عليها ضد توريسيلي قد : تم التوصل إليها 
من خلال تفتيش حاسوبه الشخصيء فإلى جانب الآلاف من كلمات السّر 
المسروقة والأرقام الهائلة لبطاقات الائتتمان» وَجَدَ المحققون نسخاً من مناقشات 
غرفة المحادثة التي قد تباحث فيها كل من توريسيلي وأعضاء (إءذائده© #) 
وسط أشياء أخرى مثل : 

1. اقتحام حواسيب أخرى. 


2 الحصول على أرقام بطاقات ائتمان تعود إلى أشخاص آخرين واستخدام 
هذه الأرقام للقيام بصفقات محرمة . 

3. استعمال حواسيبهم ليغيروا الكترونياً نتائج جوائز أفلام (/81137) السنوية. 
تبين هذه القضية التنوع الكبير للأعمال الإجرامية التي قد تنشأ عن ثغرات أمن 
المعلومات. 
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رافال غري» المعروف ب «كوريدور) : 

في 1 آذار/ مارس عام 0م كَشَفَ قرصانٌ الحاسوب» الذي انتتحل اسم 
«كوريدورا» مواقم إلكترونية عديدة للتجارة الإلكترونية فى الولايات المتحدة» 
وكنداء وتايلند» واليابان» والمملكة المتحدة وَسَرَقَ حوالى ثمانية وعشرين ألف 
رقم لبطاقات ائتمان» مع خسائر مقدرة على الأقل ب 3.5 مليون دولار. لقد 
وُْضِعَتْ الآلافُ من أرقام بطاقات الائتمان وتواريخ انتهاء كل منها على مواقع 
الكترونية عديدة. قام مكتب التحقيقات الفدرالي بإجراء تحقيقات موسعة في 23 
والشرطة» وفي التفتيش في منزل «كوريدور»» رافال غري. اعثّقل السيد غري 
البالغ من العمر 18عاماً وانّهم في المملكة المتحدة» مع شريك له في التآمرء 
بمقتضى قانون سوء استخدام الحاسوب بالمملكة المتحدة لعام 000 تبين هذه 
القضية فوائد تطبيق القانون والتعاون مع الصناعة حول العالم بشأن تحقيقات 
جريمة الحاسوب. 


ابتزاز «بلو بيرغ) : 


اعتقل المواطنان الكازاخستانيان أوليغ زيزوف وزميله ايغور ياريماكا في 10 
آب/ أغسطس 2000م في لندنء إنكلتراء نظراً إلى اقتحامهما نظام حاسوب 
مانهاتان لشركة بلومبيرغ (.56:81..2ه810) في محاولة لابتزاز المال من السيد 
بلومبيرغ. تمكن زيزوف من النفاذ المحظور إلى نظام حاسوب بلومبيرغ الداخلي 
من حواسيب موضوعة في ألماتا ‏ كازاخستان. في ربيع عام 1999م كانت شركة 
بلومبيرغٌ تقدم خدمات قاعدة بيانات من خلال النظام المعروف ب (بلومبيرغٌ 
المفتوح» إلى مؤسسة كازكومريرتس المالية القائمة في ألماتي» كازاخستان» 
وكان زيزوف موظفاً من كازكومرتس. 


أرسل زيزوف مجموعة من الرسائل الالكترونية إلى ميشال بلومبيرغ منشئ 
ومالكِ بلومبيرغ مستخدماً اسم «اليكس» مطالباً أن يدفع له بلومبيرغ مبلغ 
0 دولارء مقابل قيامه بتزويد بلومبيرغ بمعلومات بخصوص كيفية تمكن 
زيزوف من التسلل إلى نظام حاسوب بلومبيرغ. أرسل ميشال بلومبيرغ بريداً 
الكترونياً إلى زيزوف مقترحاً أن يلتقوا مع بعضهم بعضاً. طالب زيزوف ميشال 
بلومبيرغ أن يودع 200.000 دولار في حساب له خارج كازاخستان. أنشأ بلومبيرغ 
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انا في البنك الألماني في لندن وأودع 200.000 دولار. اقترح ميشال بلومبيرغ 
أن يقوموا بحل المشكلة في لندن ووافق زيزوف. 

في 6 آب/ أغسطس عام 2000م ذهب كل من زيزوف وزميله ياريماكا من 
كازاخستان إلى لندن. في 10 آب/ أغسطس عام 2000م,2 التقى ياريماكا وزيزوف 
لندن» تظاهر الأول على أنه موظف إداري كبير في بلومبيرغ (5..آ) والثاني على 
أنه مترجم. ادعى ياريماكا في المقابلة أنه كان نائباً عاماً سابقاً ل كازاخستان» 
وبين أنه يمثل «اليكس) وسوف يدير شروط الدفع. ووفقاً للادعاء كرر كل من 
ياريماكا وزيزوف مطالبهما في المقابلة. اعتقل كل منهما بُعَيد الاجتماع. في 27 
شباط/ فبراير 2003م انتهت محاكمة انا تولجيفيش زيزوف بالحكم الإجرامي 
بسبب التلاعب بالحاسوب» والابتزاز» واستخدام الاتصالات المتعلقة بأكثر من 
ولاية من أجل الابتزاز والتآمر. إنه يواجه 28 عاماً فى السجن. هذه القضية هى 
مثال للجريمة التقليدية التي سهّلها الحاسوب. 

تستمر جرائم شبكات الاتصال الالكتروني بالازدياد بمعدل يثير المخاوف» 
وتساهم الثغرات في المشكلة. إننا نشجع المدراء ومحترفي أمن المعلومات على 
تقليل الفرص للمجرمين من خلال توظيف الممارسات الأفضل وترقيع الثغرات 
قبل أن يتم استغلالها. سيواصل مكتب التحقيقات الفيدرالي ملاحقة مجرمي 
شبكات الاتصال الالكتروني باعتبارنا نكافح للبقاء متقدمين عليهم خطوة في 
سباق تقنية جريمة شبكات هذا الاتصال. 


أشكركم على دعوتكم لي لأحدئكم اليوم» وبالنيابة عن المكتب أتطلع 
بأمل ولهفة إلى العمل معكم في هذا الموضوع بالغ الأهمية. 


إحصائيات حول جرائم الحاسوب 


إن المصدر المرجعي الممتاز لإحصائيات جرائم الحاسوب هو الموقع 
الالكترونى لمعهد أمن الحاسوب (051) عاناكتاقم1 جالتباعء5 تعانام مه 
(تامء. أوعمع.99) . هناك رابط» في موقع المعهد على الإنترنت» يحتوي على 
تقرير المعهد الخاص بالمسح السنوي لجرائم الحاسوب. يُجري المعهدٌ هذا 
المسح بالتعاون مع المركز الوطني لحماية البنية التحتية (©51) التابع لمكتب 
التحقيقات الفدرالية. إن (71102) هو عبارة عن تعاون بين الصناعة ووكالاات 
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فيدرالية عديدة» وهو مهيّأ ليكون منظمة أساسية من أجل التعامل مع الجرائم 
المنفذة باستخدام الحاسوب والاعتداءات المستهدفة لبنية الأمة التحتية 
المتعيليةء بم :23 ذلك" المظازاف» ‏ والظرق العامة وشيكاك: المواملات 
السلكية واللاسلكية والأبنية الحكومية. 


يقدم التقريرٌ السنوي عن المسحء والقابل للتحميل مجاناً من موقع (51©) 
على الإنترنت» معلومات واضحة مع نتائج أخرى - حول أنواع جرائم 
الحاسوب المقترفة» والمصادر الممكنة» ومتى تم الإبلاغ عنها وإلى من» 
وقيمة الخسائر. يجرى المسح كل سنة وينشر في أواخر آذار/ مارس» بداية 
نيسان/ أبريل. وغالباً ما يصبح التقرير عند نشره مصدراً إعلامياً للتنبُو 
باتجاهات جريمة الحاسوب. وتقنيات الردع. ولقياس الزيادة في ظهور 
الجريمة من سنة إلى سنة. وتوقعات الخسائر المالية إذا ما فشلت إجراءات 
الحماية المضادة. 


مصادر مرجعية حول جدار النار 
بريحن العفيد تن الكني الى ققدم محارت انه سمعاره حول جدران الكار: 
منها ما يلي: 


© ننرا ةلا 56 1711617161 متته كألوسه»1ر .(1994) .5 رمتناملاع8 مامه .8 ,عاعاوتوعط0) 
77651 015011 لل .0-201-633517-4 15811 .ماع هس براغ 7[ 6[ا ج111 [أءعمء 1 


© ع«ادرلا 10تك 1711677161 أمءتاءعه27 .(1996) .©) ,11010هم5 له ,.ك ,اعكلمتامتهن 
ه50 ((1لاع ]0*1 .1-56592-148-8 ااا 5] .مر مءى 


[0.١ 8. )2000(. 8110119 ©‏ رتمقحطمقطن) لله ,.ك ,اعم 000) [0.١‏ .8 ,لإكاء1ما2 
.وعآهه8 تزلائع ”0 .1-56592-871-7 15811 بلع 224 .والوسصز] امندرمامآ 

من المراجع الإضافية ذات العلاقة ما يلى: 
© ,1 .7015؟) [اط 1 لاد واراع[7مسطء م7 .(1992) .0آ[ رقطع7ع51 220 .(0آ ,تتعمام0 
.(474222-2111 -0-13 ,(0-13-472242-6)11 ,(0-13-468505-91 للاهظد] .(111 ,11 
له ]-ءء ممعم 
الأول الذي يتحدث عن المبادئ» والبروتوكولات والهندسة قراءته ممكنة من 
قبل كل شخصء أما المجلد الثاني فهو (حول التصميمء التطبيق والأمور 
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الداخلية) ميال إلى التقنية بقدر أكبر. ويغطي المجلد الثالث خادم الزبائن 

المرتبط بالحاسوب») 
© 77تءاكبزى ننه دعكا امك 1106© 4 - 117 7لقء 56 71 كنرك 712 .(1992) .نآ ,11م 
لاع1وع 177 1015012 ل .0-201-5632/7-4 151811 .07711151711015 لم 


قائمة بريد جدران النار (2115/تاء1]/اعد.عممع.داذنا//:ماخط) (2000 يمتاكيت) 

إن قائمة بريد جدران النار للإنترنت هى عبارة عن منتدى من أجل مدراء 
ومنفذي جدار النار. للاشتراك أرسل «اشترك في جدران النار» في الرسالة 
(وليس فى سطر موضوع الرسالة) إلى (اعم.عهمع.115)5 © هحمه22[000) . 
معلومات حول «الكيفية» لبناء جدار النار 


©» يصف هذا الموقع ما هو مطلوب من أجل بناء جدار النار»ء وخاصة مع 
استخدام الينوكس. 


.للشغط.17211-110177100ع1001717100/111/ دآ[ /نتلعء.عصنا.ع ا أقطناة//:ماغط 


© مجموعة أدوات جدار النار (518/116) وأوراق جدار النار: .65.م)؟//:م؟) 
.(11152115/ امام امه 


© المنشورات المتعلقة بجدار النار لماركوس رانوم .لتنتصة.80559//نطاغط) 
. (115م إحطامه 
أبحاث حول جدران النار والاقتحامات 
© (لإا1تتاعع5_أعطااع اط 015/1 /حنام». 1 أة. ماع" وعوع]1. م1 // :م؟) 


8 أدوات حماية جامعة (41كى دقعرء 1) : /م]/ نالع . تتططتها. اعم. 8150107 / :ماغط) 
(10لك 1/1 تتاععو 


©» صفحة جدران النار للإنترنت مشروع 008451 : .5ه./9/58//نطاغط) 


.(11/60256/11112115 .0101م 
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الثشنبت التعريفي 


[مجموعة من هذه المصطلحات مقتبسة من شركة (2004 .عم] قممتانآه5 66 5) ] 


سوء استعمال الامتياز أعه1ذ:1, 05 »وطح : عندما يقوم المستخدمون بعمل 
لا يتوجب عليهم القيام به وفقاً لقانون أو سياسة تنظيمية. 

قوائم التحكم بالنفاذ 5)وذ1 01ام00 ووهءء4 : هي قواعد تخزن في المرشحات 
(مثل أجهزة الموجهات (2010655 تقوم بتحديد كتل المعلومات التي يسمح لها 
بالدخول وتلك التي ينبغي أن تحظر. 

مُوَجّه النفاذ ه28 ووءم»4 : هو الموجّه الذي يربط شبكتك بالإنترنت الخارجية. 


جدار النار لطبقة التطبيقات 1ل9رءءز؟ يع رهآ-ممفوءناممه : هو نظام جدار النار 
الذي يقدم الخدمة من خلال العمليات التي تحافظ على الاستمرارية وعلى 
وضعية كاملة لاتصال بروتوكول التحكم بالنقل (107). تعيد جدران النار 
لطبقات التطبيقات عنونة حركة سير المعلومات بحيث تظهر حركة السير الصادرة 
على أنها تولدت من جدار النار بدلا من المضيف الداخلي. 

التحقق من الهوية «وناهءناهءطاسحم: هو عملية تحديد هوية المستخدم الذي 
يحاول النفاذ إلى النظام. 

أمارة التحقق من الهوية معناه1 دمنهءاسهطاسح: هي وسيلة قابلة للحمل 
مستخدمة من أجل التحقق من هوية المستخدم. تعمل هذه الآمارات بوساطة 
التحدي/ الاستجابة أو سلسلة رموز قائمة على الوقت أو بوساطة تقنيات أخرى. 
قد يتضمن هذا قوائم على الورق لكلمات سر سابقة. 

السماح أو التخويل «60ه2ةهطاس4: هي عمليات تحديد أنواع النشاطات 
المسموح بها. يجري السماح عادة في سياق عملية التحقق من الهوية» ففور 
التحقق من هوية المستخدم, يُسمحُ له بأنواع محددة من الدخول أو النشاط. 
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المضيف المحصّن 11051 سملاقة8 : هو نظام قد تمت تقويته ليقاوم الاعتداء» 
ويركب م الشبكات التي يتوقع خضوعها للاقتحام. إن المضيفات المحصنة 
هى غالبا أجزاء من جدران النار أو قد تكون خارج مخدمات الشبكة أو أنظمة 
الدخول للعامة. يعمل المضيف المحصن عادةً تحت نظام للتشغيل متعدد 
الاستعمالات (على سبيل المثال» اليونيكس» 2.2/15 25/845 0 . .الخ) بدلاً من 
نظام تشغيل البرمجيات المخزنة بطريقة لا يمكن تغيرها (08:6اصاةط) أو من 
النظام القائم على ذاكرة القراءة فقط. 

التحدى/ الاستحابة عكصومى 18/ 0211688 : هى تقنية للتحقق من الهوية يرسل 
بواسطتها المخدّم تحدياً لا يمكن التنبؤ به إلى المستخدم الذي يحسب 
الاستحارة ميتهدنا نوعا هخ آماره التسن من الهوية: 


الجمع الفاحص التعموى (التشفيرى) سكاع عنطمةءعمام29© : هو تابع 
حسابى وحيد الاتجاه يطبق على الملف لحساب «بصمة») خاصة بالملف من 
أجل مراجعة لاحقة. إن أنظمة الجمع الفاحص هي وسائل أساسية لكشف 
ملفات النظام الخبيثة على اليونيكس. 

الاعتداء المسيّر بالبيانات 4112 معخترط مقغه2 : هو شكل مسن أشكال 
الاعتداء يتم فيه ترميز الاقتحام برموز تبدو بريئة ضمن البيانات وهو يُنفذ من 
قبل المستخدم أو برمجيات أخرى لتحقيق الانتهاك. في حالة الجدران النارية 
يكون الاختراق المسير بالبيانات مصدراً للقلق باعتباره قد يخترق الجدار الناري 
على شكل بيانات» ويشن هجوماً ضد النظام خلف الجدار الناري. 

الدفاع فى العمق طامء8 هذ عكمءق»1 : هو منهج من مناهج أمن المعلومات 
تجري منه حماية كل نظام على الشبكة إلى أقصى درجة. قد يستخدم بالارتباط 
مع الجدران النارية. 

خداع نظام اسم النطاق عه6ه0مم5 2125 (10215): هو انتحال اسم (0115آ) 
يخص نطاقاً لنظام آخرء إما بوساطة تغيير ذاكرة خدمة حفظ الأسماء التابعة للنظام 
الضحية أو بوساطة انتحال شخصية مخدّم اسم النطاق من قبل مخدم آخر. 

الموجه المعمى (الْمشفْر) عننه2 ومناموهم1 : انظر فى تعريف الموجه عبر 


الأنفاق :1016 عهذاعصصد. أو الحدود الخارجية للشبكة الافتراضية 77100181 


تع اء متتاء2 ع1 01 كا[ . 


1/1 


جدار النار ال81:68: هو نظام أو مجموعة من الأنظمة تقوي حدود الحماية 

أمن المعلومات القائم على المضيف «انرسده»5 11050-02560 : هى تقنية لحماية 
على النسخة التى تستعملها منه. 

اعتداء من الداخل عاعة))4 معلنوم] : هو الاعتداء الحولن من داخل الشبكة 
النحدية 


كشف الاختراق «متءء)»2 دمونودهم1 : هو الكشف عن الاقتتحامات أو 
محاولاات الاقتحام إما يدوياً أو بوساطة برمجيات نه خبيرة تعمل على 
سجلات الأداء (وعم.آ) أو على معلومات أخرى متوفرة على الشبكة. 


سرقة/ اختطاف (15) عمناعدزخ11/ومعنامك 15: هو الاعتداء الذي يتم فيه تعطيل 
أو اقتحام جلسة تواصل قائمة عبر الإنترنت من قبل مُعنَدٍ. قد تحدث اعتداءات 
اختطاف (1) بعد أن يتم إجراء التحقق من الشخصية سامحاً للمقتحم أن ينتحل 
وظيفة المستخدم المباح للتو. تعتمد الإجراءات الأساسية للحماية من اختطاف 
(5) على التعمية في طبقة الجلسة أو طبقة الشبكة» من طبقات الاتصال السبع 
المعروفة. 


خداع ال (15) ودقممم5 15: هو الاعتداء الذي يحاول فيه النظام المعتدي 
انتحال صفة نظام آخر بشكل غير شرعي من خلال استخدام عنوان شبكة ال 
(15) خاصته. 

الامتياز الأدنى ععءاأحلرط أووع.[ : هو تصميم خصائص النظام التشغيلية للعمل 
بالقدر الأدنى من امتياز النظام. يقلل هذا من مستوى سماح تنفيذ العديد من 
الأفعال» ويخفف من الفرصة التي قد تسببها العملية أو المستخدم ذو 
الامتيازات العالية للقيام بنشاط محظور مؤدياً إلى خلل في أمن المعلومات. 

تدوين الأحداث 8 هو عملية تخزين المعلومات المتعلقة 
بالأحداث التي تقع على جدار النار أو الشبكة. 

معالحة سجل (أو مدونة) الأحداث 8 1.0 : كيف تتم معالجة 
سجلات الرقابة وتفحصها من أجل الأحداث الجوهرية أو تلخيصها. 
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فترة حفظ سجل (مدونة) الأحداث «مناهها8 يه.1: ما هي المدة التي يتم 
فيها حفظ سجلات الرقابة وصيانتها. 

جدار النار لطبقة الشبكة 511«عملظ نعنره.1-ءاده2/60: هو الجدار الناري حيث 
تفحص حركة السير في طبقة كتلة معلومات بروتوكول الشبكة. 

الحماية القائمة على محيط الشبكة وأسسء5 لءمدا-مءاعستروط : هي تقنية 
لحماية الشبكة بوساطة التحكم بالنفاذ إلى جميع نقاط الشبكة المخصصة 
للدخول والخروج. 

السياسة تإءذاه: هى القواعد الموضوعة على مستوى المنظمة والتى تضبط 
الأيككوم عسي ارارق امهف ف انعد اس عار ساف الحيايةة 
والإجراءات التشغيلية. 


المخدّم الوكيل «ه:2: هو وكيل برمجي يعمل لمصلحة المستخدم. عادةً 
يقبل الوكلاء الاتصال من المستخدم ويتخذون القرار بخصوص ما إذا كان 
عنوان بروتوكول الإنترنت (18) للزبون أو المستخدم مسموحاً أو ممنوعاً من 
استخدام الوكيل» كما يمكن أن يقوم بإجراء تحقيقات إضافية بعد ذلك يكمل 
الاتصال لمصلحة المستخدم إلى الموقع المطلوب. 

سرقة الجلسة ودناده:5 «منووه5: (راجع أيضاً تعريف سرقة/ اختطاف (12)» 
والهندسة الاجتماعية) هو اعتداء مرتكز على خداع المستخدمين أو المدراء في 
الموقع المستهدف. تنفذ اعتداءات الهندسة الاجتماعية عادةً بوساطة الاتصال 
بالمستخدمين أو العاملين والتظاهر بأنها مستخدم مباح لمحاولة إحراز النفاذ غير 
الشرعي إلى الأنظمة. 


علم إخفاء البيانات داخل الصور أو الصوت (طمهمعممدع:5: يرتكز إخفاء 
الواناضة داخل الضون أؤ الصوة حاسويياً على يداين. الأول هئ أن "الملقاتك 
التي تحتوي على صور أو أصوات محولة إلى إشارة رقمية قد تُغيّر بدون فقد 
وظيفتهاء على خلاف الأنواع الأخرى من البيانات التي يجب أن تكون دقيقة 
لتعمل كما يجب. يتناول المبدأ الثاني عدم قدرة الإنسان على تمييز التغيرات 
الثانوية في لون الصورة أو جودة الصوت. 

حصان طروادة 11056 موزه»1 : هو كيان برمجي يظهر وكأنه يقوم بأمر 
طبيعي ولكنه في الحقيقة يحتوي على برنامج للاعتداء أو على باب المصيدة. 
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مُوَجّه عبر الأنفاق عاه2 ومناءمم1: هو مُوَجَهُ أو نظامٌ قادرٌ على توجيه 
حركة سير المعلومات بعد تعميتها (تشفيرها) ووضعها في كبسولة رقمية 
وإرسالها عبر شبكة غير موثوقة» ليجري فك الكبسولة المعماة من قبل المستلم. 

محيط الشبكة الافتراضية «عاعسفك< 00:1ء21 1م11 : هى شبكة تظهر على 
الواتظي برقو مف تلفي عار اذ البارية رفي اق جد ميته الققدان الى 
توالك ا اناك إكترا 1 معياة عبن لكان لم و 1 


الفيروس هدمة7ا: هو سلسلة من الرموز ترفق نَفْسَها على ملف للبيانات أو 
على برنامج ماء وتكرر ذلك بشكل واسع. قد تحتوي الفيروسات أو لا تحتوي 
على برامج للاعتداء» أو على أبواب المصيدة. 

الدودة سمه/3: هي برنامج مستقل ينسخ نفسه من مضيف إلى آخره ويُشْغْل 
نفسه بعد ذلك على كل مضيف مصاب حديثا. إن «فيروس الإنترنت» المشار إليه على 
نحو واسع عام 1988م لم يكن فيروساً على الإطلاق» وإنما كان في الواقع دودة. 


أسئلة متكررة الطرح حول فيروسات الحاسوب 
إن القائمة التالية للآسئلة متكررة الطرح موجودة على المواقع: 
5 01. 17717/17712205 / اخ ٠»‏ 
:5 617[ 101 لخر 1 111115 1م00 ٠‏ 
/1-1711115/116157-115615 71116 تتام /5 1205.01 1777/9177 / :ماغخط 
0 0ط 1711115 مطامء/ رآ -كتما/ا ٠‏ 
[011211]61-1711115/120ع/ 05 ة]/5 1205.01. 1777/9177 / :اط 
0ط عدل/طا عطا 0ه 5عء1105/ا ٠‏ 
121-120] 1711151 مط حطمء.171115/12211051-120/216- 111 حططمء/ 05 ة] /5 1205.01. 177/177 / :ماغخط 
4 ...120/211 تحط 11]61-1711115مإحام» رذع 5/12 1205.01 1771/177/ / :خط ٠»‏ 
4ل "77111151. محطه».2111/216م//1]61-1711115/211-120مإصام» رذع 5/12 1205.01 1771/177/ / :اخ ٠»‏ 
14ل "77111151. محطام».2112/211م//1]61-1711115/211-120مإحطام» رذع 5/12 1205.01 1771/177/ / :خط ٠»‏ 
4ل "77111151. مططم».2113/216م//1]61-1711115/211-120محامن رذع 5/12 1205.01 171/177 / :خط ٠»‏ 


/ 2114م /رمة]-1711015/21- 1ع ]11م حتام» 5/1205 1205.01 1771/177/ / :ماخ ٠»‏ 
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قواعد البيانات التي تعالج ظاهرتي”*': 


تلقّى مركز التنسيق 5811© فى الولايات المتحدة العديد من الاتصالات 
والرسائل الالكترونية من أشخاص يسألون عمًا إذا كانت الرسالة التي تصلهم 
عبر البريد الالكتروني صحيحة أم لا؟ قد تساعدك قائمة المصادر الآتية في 
التميز بين الرسائل أو التحذيرات الكاذبة والصحيحة: 


© المقدرة الاستشارية بشأن حوادث 
الحاسوب 

© الرسائل المخادعة فى الإنترنت - كيفية 
تمييزالرسالةالمخادعةأوالتحذير 
الصحيح. وماهي الأمور الواجب 
فعلها؟ 

© التحذيرات المفرطة! ‏ مضاد للفيروس 


© معلومات حول الرسالة المخادعة 


© الرسائل المسلسة في الإنترنت - كيفية 
تمييز الرسالة الجديدة المسلسة. ما هى 
الأمور الواجب فعلها؟ 

© فيروس الرسالة المخادعة مكتبة 
المعلومات حول الفيروس ‏ ع1 ه]/2 


© الرسائل المخادعة ‏ مكتبة الفيروس - 


5 1370659 5م0211 


1/1087 .0101:0111 .17717177 /ماخط 


)1ط همده 205150197 مع 1210 1م11 ممامء) 01400 


110 01 غ102 الاع7 2 11أمعل1 0غ مط -وعع هط أعت1عام1 
7 72610 210 1721:0185 


للصغط. مأملعجد ه811 11 /ع 1مع12ء. ذتاء أكناطء:د 0 1//:ماخط 


!216215 أءملاط دع 0 امه 1115 1كلامة 181341 


تع 1 دعم:15آ /رؤثء للع 0 لكلدع:1831 /حتام» . منتطا1. كه /1771717/ /ماخط 


-- 105 
/21215711115 111111165 حطط0» / امتخط راعط. 52ع1. 18717977/ / :ماخط 


/5ع:102 


م 2617 2 82126 معع71 0غ 260157 -و1عااع1 متتقطء أعطتعام1] 
9 مش أهقط8؟ رتعااع1 

للصغط. أله ه811 ل1/ع:01.ع12ء. ذتاع أ كناماءده م ط. /187131/ /:ماخط 
5 171115 -/:1121:21 1210111211011 1711115 دوع 1 رع 1/1 
ت017//032.25». عع21ع12. 11. /17717/17/ /ماخط 

5 -(11121 1711115 -5و 5501216 ع1 :01 تان لال[ 


/1115/1121313لا_اخطة/أع5د_وكه /1امء.21. /17717/17/ /:ماخط 


10265.35 


(:) ظاهرتان من ظواهر البريد الإلكتروني» الأولى هي تلقّي رسالة والحض على إعادة إرسالها إلى 


الآخرين 1165 ستهطه أو نشر رسالة» والثانية هى تلقى إنذار أو تحذير كاذب :1102 . 


2ظ1 


00 5 2 3 2 
منشورات ومنظمات حول الفيروس 
© (المؤسسة الأوروبية من أجل البحث المضاد ‏ -011ى عنام دده 101 ألا أناقط] ندعم 0نا8) ج8141 
للفيروس المتعلق بالحاسوب) 1810412 (طعتوعوع 1 ونمتلا 


/لتام». تع 1ء. /17717/77/ /ماخط 


تضم (81041) الجامعات» والصناعة ووسائل الإعلام» بالإضافة إلى 
خبراء القانون والحماية التقنية من الحكومة (مدنيا وقضائيا وعسكريا) إلى جانب 
منظمات حماية الخصوصية التي تهدف إلى توحيد الجهود غير الربحية ضد 
كتابة وتكاثر الرموز الخبيثة مثل أحصنة طروادة أو فيروسات الحاسوب وضد 
جرائم الحاسوبء» والتلاعب وسوء استخدام الحواسيب أو الشبكات» بما في 
ذلك الاستغلال الماكر لبياناتث الموظفين: مرتكرة عل قاتوث؛ 


© (الاتحاد العالمى لحماية الحاسوب) 4و1 لإأأتناعة5 عأ نا مم00 210221 0زع 1 م1) حدك1 
(5506126100م 


ا ممطتخط /اعط. ودع 1. 17777177 / :خط أع0. هدع 1. 17717/177/ /ماخط 


011.17 111115. 118/157 / : خط 11115/21151115 امه 

يهتم الاتحاد بالمنشورات العالمية حول تجنب,. وتمييز وإزالة فيروس 

الحاسوب. إن نشرة الحاسوب (1170ء| انظ 5ه11) هى مجلة تقنية حول التطورات 
فى مجال فيروسات الحاسوب والمنتجات المضادة للفيروس. 


© منظمة اللائحة الحرة الدولية 11121001 مه 221 تصدع 01 1171101156 ع1" 


8-]171101151. 1771777 /نماخط 
إن مهمة منظمة اللائحة الحرة (1280108صدع01 177/1101156) هى تزويد 
معلومات شاملة ودقيقة ومناسبة حول فيروسات الحاسوب 771107 عط مذ إلى كل 
من المستخدمين ومطوري المنتجات. 
إن الاكنعة النسة تمن 'قامنة اوسنت الستاشوت: التق تايف للق يلون 
سيطرة والتي أبلغ عنها بوساطة مجموعة متنوعة مؤلفة من أكثر من 40 متطوعا 
مؤهلا. لقد وضعت هذه القائمة 6 متناول الجميع مجانا من قبل المنظمة. 


163 


© (00.2/151.807) 21151. المواصفات الشائعة من أجل تقييم أمن 
تقنية المعلومات» 15408», المعيار الشائع |720عع/ع»/807 .أقت0. وعم .عدي / / :ماخط) 
(لحصغط.)2115ء» 


© (0151.1995). فى 1.1062 “© دغ نان.8) مقدمة إلى حماية 
الحاسوب : دليل(800-12 000 2151 عطا. 

© كتاب (012286 (1001). معيار ((1001) لتقدير نظام الحاسوب الموثوق» 
دائرة الدفاع للولايات المتحدة (5200.28-511 201©)» نشر في كانون الأول/ 
ديسمبر عام 1985م. 
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حول مؤلفي الكتاب 


لورنس آأم. أوليفا: هو مدير «إدارة مشروع البنية التحتية» لمشروع التحالف 
(0502181341) الذي يركز على تجديد العديد من الاتصالات والبنية التحتية 
المتعلقة بالحاسوب التابعة لوزارة المالية فى الولايات المتحدة. لديه خبرة أكثر 
من 25 سنة بإجراءات وممارسات أمن المعلومات من وجهتي نظر الإدارة 
التنفيذية والتقنية» ولقد نفذ العديد من الممارسات الأفضل لإدارة أمن 
المعلومات المذكورة في هذا الكتاب. بوصفه محترفاً مجازاً في إدارة المشاريع 
(6215)» أدار أوليفا عدة مشاريع استثنائية هامة وبالغة الخطورة» قد وصلت إلى 
0 مليون دولار فى الميزانية. وباعتباره نائباً لرئيس شركة تختض بأمن 
الحاسوب تطور حلول الحماية البيولوجية» فإن فريقه قد قام بتطوير وتركيب 
الإجراءات اللازمة للانتقال بسرعة وأمن ورخص لمئات مستخدمى تقنية 
المعلومات للرعاية الصحية والمالية من أوضاع كلمة السّر فقط إلى بيئات 
الدخول البيولوجى للحماية العالية متعددة الطرق. وهو عضو فى هيئة التدريس 
لجامعة فونيكس. 


تعمل كريسان هيرود في جامعة الدفاع الوطني كرئيسة قسم عمليات 
المعلومات وقسم تأمين المعلومات» حيث إنها مسؤولة عن المناهج بما في 
ذلك العمليات وتأمين وأمن المعلومات» بالإضافة إلى كونها أستاذة جامعية 
لمادتي إدارة الأنظمة وأمن المعلومات. لقد كانت سابقاً مديرة أمن تقنية 
المعلومات الشاملة فى غلاكسو سميث كلاين (856) وهى الشركة الضخمة 
للمستحضرات الجيدلة) كما كانت مديرة لأمن المعاو كا د «فانى مى) وهو 
الأتساك النية الن التدرفن لمكن عند كافك فى ««قاف موا حقلت فى اكه 
مدعومة من البيت الأبيض من أجل الغديانة: اجرح للينة العم كرسي 
لمجموعة عمل فى تحليل ومشاركة المعلومات» وهى الآن مستشارة خاصة 
درف م 8ك تلن وبشار كه اللمعلريات المنافة انان الفسية:: انها سناعدة 
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أستاذ جامعي تقوم بتدريس مواد القيادة وأمن المعلومات في جامعتي فيرفاكس 
و فونيكس. لقد دَرّست من عام 1999 إلى عام 2001م مواد أمن المعلومات 
لطلاب الدراسات العليا في جامعة جورج واشنطن. 

إن كريج أي. كوشر هو أستاذ جامعي لتأمين المعلومات وعملياتها في 
جامعة الدفاع الوطني. عمل في مجموعة متنوعة من المناصب لإدارة الأنظمة وأمن 
المعلومات. من المستوى التكتيكي إلى المستوى الاستراتيجي» وفي مجتمع 
الاستخبارات الأمريكية لأكثر من 21 عاماً فى مهنة الخدمة العسكرية. حصل على 
الور يريج كن لحا لاقومه عد فقيل ,لجعي قن لذارة مفدية اد ميات 
مق اجامعة :موكيا ف المزكزية: وهو اليا تحداو الدركتوواة 5 نظم المعلومات. حائز 
كذلك على شهادتي التخرج 0 و 019 من وزارة الدفاع وهو مدير مجاز في 
أمن المعلومات (01531). لقد قام بنشر مقالات حول محاور متعددة في أمن 
المعلومات وتحدث في مؤتمرات صناعية وحكومية عديدة. 

ل.ت.سى. كليفتون ه. بوول 14021. 201521 015527 هو جندي محنك 
بع عيرة افق اللفرقق |الأمريك لهال هادا" لذق ين كبقع اهم برو ساني 
تأمين المعلومات» ورسم السياسة» ومعايير الحماية والأمن اللاسلكية في كلية 
إدارة مصادر المعلومات في جامعة الدفاع الوطني ‏ واشنطن ©58. لقد تميز في 
جريدة بوست واشنطن عام 2003م لبحثه في الأمور الحاسوبية اللاسلكية باعتباره 
رسم خريطة لنقاط الوصول اللاسلكية المحلية. إنه طالب دكتوراه في علوم 
المعلومات والحاسوب» جامعة جنوب شرغي نوفا. 


تشاليز ريكس الرابع (197) هو كبير موظفي المعلومات ومدير العمليات 
الأكاديمية في كلية الحرب. الوطنية في واشنطن ©2 حصل على شهادة 
البكالوريوس من معهد فيرجينيا الحربي وماجستير في إدارة الأعمال من جامعة 
فونيكسء كما أنه حائز على شهادة كبير موظفي المعلومات وشهادة تأمين 
المعلومات من كلية إدارة مصادر المعلومات في جامعة الدفاع الوطني. يقتني 
السيد ريكس مؤسسة استشارات» وهو عضو فى هيئة التدريس والإدارة فى 
جافية قو اتيع. 1 1 
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فهرس 


1 
آليات أمن المعلومات: 267 79 
آليات التحكم بالنفاذ: 271 80-79 
الأبعاد العشرة لجودة المعلومات: 40 
اتفاقيات مستوى الخدمة (كش.آ5): 12» 
116-5 


إجراءات الأمن: 19 48-47, 62. 2.69 
278-77 114-113. 144 

إجراءات الأمن المضادة : 48-47 

إجراءات الأمن الوقائية: 77 

إجراءات التنفيذ المضادة : 

لإجراءات المضادة البنيوية: 146 


حصنة طروادة: 18» 25», 65» 103» 
166 


144 


ع 


ختبار (8610) العالمي: 36 

ختبار الاختراق: 2:77 161 

ختراق أمن المعلومات: 55 

إخفاقات الأمن: 59 62» 266-65 75 


إخفاقات أمن المعلومات: 260 262 67 
إدارة أمن تقنية المعلومات: 161 
إدارة برامج أمن المعلومات: 34 


إدارة التحكم بالمعلومات: 31 
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رة تقنية المعلومات: 11. 26-25. 228 
3 255 91 


رةالمخاطر: 12 2.31 88-83, 91- 
4 98-97. 102-101 


دارة نظام المعلومات: 36 


أدوات القرصنة: 24» 166 


مع 
التتسف 


حمية 


إرهاب ال (2وطنزه) : 17» 35 

لاستثمار فى تقنيات أمن المعلومات : 60 

لاستجابة للمخاطر: 86-85 

ستراتيجية تأمين المعلومات : 275 78-77 

سترجاع البيانات : 13» 157» 162 

أشخاص الشبكة : 36 

أصول المعلومات: 12. 20-18» 118- 
9 125» 163 

لاعتداءات على شبكات الاتصال 
الإلكترونية : 17 

لاعتداءات والاختراقات في أمن 
المعلومات: 66 

لاقتحامات الالكترونية: 79-78 

أمن البنية التحتية : 68» 276-75 279» 127 

أمن تقنية المعلومات: 9. 12. 219-15 

161 .»119 .»63 .»60 »58 »56 31 


ع 


من الحاسوب: 69 163. 173 


أمن المعلومات: 6-5» 29 11». 13» 16» 
19-8., 26-24. 31 44-33. 46- 
49 55-51 260-59 62». 270-65 
2075-2 279-77 83-82 102- 
3 109-105. 114-111. 2117 
2122-9 127-125. 129. 131- 
2 2135 142-140. 145-144, 
8 2150 158-152» 2163-161 
166-5» 2171 173 


أمن المعلومات اللاسلكية : 129, 145 

أنظمة إدارة العلاقة مع الزبون (083/4): 

64-3 

أنظمة أمن الإنترنت: 43 

أنظمة البيانات الإلكترونية : 43 

أنظمة تبادل البيانات الإلكتروني (821) : 
64-3 

نظمة تخطيط موارد المؤسسة (817): 63- 
64 


ع 


أنظمة الحاسوب: 61. 65. 72-71, 2,94 
160 


أنظمة «الزومبى) : 11. 19-18 

أنظمة الشبكات الحاسوبية: 70 

أنظمة كشف الاختراق (105): 81-80 

أهمية أمن المعلومات: 34 

أوليفاء لورنس م.: 17-16» 113 
0ل كا 

برامج تأمين المعلومات: 45 

برمجيات أمن المعلومات : 25. 162 

برمجيات الحماية المضادة للفيروس : 79 


البرجيات الخبيثة: 18» 35» 2141-140 
146 
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برمجيات القرصنة : 137 

برمجيات نظام التشغيل: 79 

برمحيات ويندوز 95: 22 

برنامج «رووت كيت) 5001114 : 170 


برنامج «عاثر النت)» (2ء[طصنطناءله) : 
137 


بروتوكول الإنترنت 17: 19» 136 


بروتوكول التحقق من الهوية (ه8): 


1531 


تروتوكول تعيية (الشفير) فال المسكرى» 


152 
بروتوكول التعمية اللاسلكي : 146 


بروتوكول تكوين الحاسوب المضيف 
ديناميكياً (011©7) : 147 


بروتوكولات أمن النفاذ: 115 
بروتوكولات البيانات الاحتياطية : 156 
بروتوكولات التخزين الاحتياطي : 126 
بروكتور» ستيفن: 15 


بريم » نيك : 15 
البطاقات الذكية : 3 125غ» 160 
بطاقات الفيزا: 21 


البقع الساخنة : 139-138 

بلومبيرغ © ميشال: 173-172 

لتحتية لشبكات (417.آ/17) : 69 
لتحتية الحاسوبية: 127 

لتحتية اللاسلكية : 134 

لتحتية لأمن المعلومات: 68» 163 
لتحتية للشبكة المحلية السلكية الدائمة 
(لض6 : 69 


و ا 


بولينس». جون: 15 
بوولء كليفتون: 16» 129 
بيانات الزبون: 23» 70 
البيانات المخزنة: 71» 167 
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0 الضف كا 


تأمين المعلومات: 12. 35-34» 37. 41- 
3 247-45 51-49. 260 263 ذل 
7 852 


تبادل البيانات: 20» 63 

التجارة الإلكترونية: 61» 166» 172 

تحديد درجة المخاطر: 85» 115 

تحرّي الحوار: 137 

التحرّي بالسيارة: 137 

التحرّي بالهاتف: 136 

تحسين أمن المعلومات: 75. 132» 150» 
165 

التحقق من الصفات البيولوجية : 17 

التحقق من الهوية أو التوثيق: 13» 220 


2.119 .117 »)106 .48 40-9 
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تحقيق التوازن بين الذكاء والحمق: 72 
التحكم بالنفاذ: 31, 34, 40 271 79- 
0 2.99 132» 147-146. 2.150 

2 162 
تحليل المخاطر : 96 
تخزين البيانات : 125 
تخزين المعلومات : 13» 119» 154» 157 


تخفيف المخاطر: 85, 91-89, 93, 99- 
100 
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اوور التعلق بالاثترتت + 26 

التسلسل الهرمى للضوابط : 88» 291-90 
58 

تطوير خدمات تقنية المعلومات: 84 

تعمية البيانات: 148 

لتعمية (التشفير) : 8”) 81. 134» 2146 
1532 

لتعمية (تشفير) البيانات : 20» 81» 131» 
148 

لتفويض : 40 

تقادم البيانات مع الزمن: 13» 126-125» 
154 


تقنيات أمن المعلومات: 19. 225 60. 69 
التقنيات البيولوجية: 159 
تقنيات المعلومات : ذك4 2.84 858 


تقنية المعلومات : 7 9. 12-11 219-15 
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تقييم أثر المخاطر: 273 283 95-91 

تقييم البنى التحتية للشركات : 74 
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المعلومات: 63 
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لتهديدات الداخلية: 12» 71» 77» 80- 
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الثغرات: 10» 35. 61-60». 265-63 
5 70 73 276-75 279-78 282 
8 100. 2.114 140-139. 2143 
6 154-152» 163» 2166 173 


ثغرات شبكات الاتصال الإلكتروني: 
166 

ثقة الزبون: 26. 65 

الثقة القائمة على التشابه: 104 

الثقة القائمة على الردع : 104 

الثقة القائمة على المعرفة : 104 
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(ده1اع/ا : 216 33. 59» 2.67 283 
19 2171 175 


جدران النار: 17» 19» 224 42. 80-79)» 
11 119» 141. 145-144. 2161 
1775-4 


جرائم الحاسوب: 26, 174-173 

جرائم شبكات الاتصال الالكتروني: 173 

الجرائم المعلوماتية: 66 

الحريمة الحاسوبية: 24 

جمعية ضبط الرقابة على التقنية وأنظمة 
المعلومات الأمريكية (1154©8): 91 


حالة المعلومات : 49-47. 102 
الحرمان من الخدمة (005): 11» 219 225 
2)» 67 272 81» 141 


حرية المستخدم: 24 


الحفاظ على الزبائن : 65-64 

حماية أنظمة تشغيل الحاسوب: 125 

حماية برمجيات 2015© : 13» 126 

حماية برمجيات التطبيقات : 126 

حماية البنية التحتية: 66» 69» 77» 126- 
7 173 

حماية ا لخصوصية: 24 

حماية مصالح الزبون: 66 

حماية المعلومات: 34. 41. 59» 63. 73- 
4 52.» 104-103 

حماية المعلومات الخاصة بالزيون: 60-59), 
2775-4 82. 103 

حماية موقع أنظمة الأمن: 78 

حماية النفاذ للمعلومات: 24 

حوادث أمن المعلومات: 65 

حواسيب المستودعات: 117 

حوكمة أمن المعلومات : 106 
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(882) : 131 142-141.» 146 

خطة أمن البنية التحتية : 76-75 

خطة تأمين المعلومات: 77 

خطة الشركات الاستراتيجية : 75 

خطة العمليات الطارئة (0©07©) : 76-75 
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- 5ه 


لدعاوى القضائية من قبل الزبون: 27» 
5 155 


لدفاع المعمق عن المعلومات: 237 42- 


50-47 3 


لديدان: 18. 225 35» 65. 103» 112» 
685 145. 166 


ديلون» غوربريت: 40 
50 
رسائل البريد الإلكتروني غير المرغوب فيها 
(00همة) : 102 
رفع الدعاوى القضائية : 28 
رفع وعي المستخدم : 34 
الرقابة والتحقيق : 66 
رقع البرمجيات: 20, 145 
ريكس» تشارلز الرابع (19): 16 
507 
زيادة عدد الزبائن : 65-64 


زيزوفء أوليغ: 172 


ا س - 

سرقة الهوية: 17. 27-26», 105. 168- 
169 

سرية البيانات: 146 

سرية وثائق إدارة المخاطر: 88 

السّرية: 10» 41-39» 47, 56». 274 282 
2 140 142. 144 

سلامة وصول البيانات: 39. 142» 2146 
151 

سلوسرء تيموثي: 15 

سهولة النفاذ: 31 

سياسات إدارة نظام أمن المعلومات: 53 

سياسات الأمن: 12» 54» 121» 154 


ش - 
شبكات الاتصال الإلكترونى: 17» 165- 
9 173 
الشبكات الداخلية اللاسلكية (الشآ18) : 
9 132-129 137-134» 139. 
145-1. 149-147. 154-152 


الشسكفاك اللاسلكية: 6 69. 125» 
2 2.136 2139 145-144. 2,149 
152 

لشبكات اللاسلكية المحلية الداخلية 
(ولالضة): 125 

لشبكات المحلية اللاسلكية (115ش.آ؟11) : 
9 129» 131» 150 

لشبكة الافتراضية : 68» 148 

لشبكة المحلية السلكية التقليدية 173/71:60) 
(للهآ: 139 
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شركة ديل : 020 

شركة مايكروسوفت: 2 112». 120 

شويتزر» نورمان ج.: 15 
- ص - 
50 

طرق الحماية البيولوجية : 139 

عدم الإنكار: 240-89 48 

عدم التدخل: 40 

العقوبات القانونية : 28 

العقوبات المالية : 28 

العلاقة بين الزبائن والمستثمرين: 62 

علاقة الزبون بالشركة : 60 

عمارة المعلومات أو هيكلتها: 113 


عمل هيكلة المؤسسة الفيدرالي 5158417) : 
46 


عمل هيكلة مؤسسة وزارة الدفاع (001) : 
16 
عمليات إدارة النفاذ: 89 
غري» رافال: 172 
دف د 
فحص نظام أمن المعلومات: 161 


(279ت) : 66 


فقدان المعلومات: 26 46 

فك تشفير كلمة السر: 171 

فوشتء. ريتشارد: 15 

الفيروس على نظام مايكروسوفت: 112 


الفيروسات: 18» 25». 35. 462 279 
3 115». 141». 145.» 166 


فيروسات الحاسوب : 33» 65» 181» 183 
فيلبس» آرون: 15 
50 

قاعدة بيانات 08225 : 27 

قانون إصلاح أمن المعلومات الحكومية : 34 

قانون تأمين لشركات الخدمات الالية 
(/إع8111 طععدع1-منتممطة 1 6) : ذ4ك 

قانون اللخصوصية: 41 

قانون الخصوصية لعام 1974: 74 

قانون «لا تتصل هاتفياً»: 27 

قانون شركات التدقيق والمحاسبة العامة 
(اع5-0:1وعصطوطة5) : دك 

قانون مسؤولية وقابلية التداول في التأمين 
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7-4 ١ 
مدينة الملك عبدالعزيز‎ 


للعلوم والتقنية [كعم)! المنظمة العربية للترجمة 


تضم هذه السلسلة ترجمة لأحدث الكتب عن 
العقافيالت الع ريععلج إإنيهاا ليطن العريى مك اللسدة 
والتطوير ونقل المعرفة إلى القارئٌ العربي. 


مع تزايد قيمة المعلوماتية تطورت الأمنيّة المعلوماتية 
من مجرد منظور إنتاجي إلى سيرورة إدارة أعمال. 

ولم تعد أمنيّة المعلومات اليوم عملية تحكّم ذ 
مدخلات البيانات والأنظمة. وإنما السيطرة على 
مجموعة الخدمات. ومن ضمنها الشبكات اللاسلكية, 
الاك 02 د _شلة اكرات الاشافعة إل اوه 
التخطيط العملياتي # حالات الكوارث. 

على أساس هذه المفاهيم تغيّرت استراتيجية تنفين 
تكنولوجيا المعلومات من مجرّد مواجهة التحديات 
الخارجية إلى تكوين بنية تحتية للحماية موثوق بها 
ومرتبطة بسيرورات العمل2. وذلك لتحريك العائدات 
المالية. وجني الأرباح. 

تمثل سلسلة 17 للحلول؛ ومنها كتابنا: أمن تقنية 
المعلومات: نصائح من خبراء. حصيلة لقاءات ومقابلات مع 
اختصاصيين وممارسين 24 حقل المعلوماتية. منحونا 
وجهات نظرهم حول نجاحات وفشل حماية المعلوماتية 2 
المنظمات. 
لورنس م. أوليفاء متخصّص ف نظم المعلومات, 
والصناعات الإلكترونية. وله خبرة 4# مجال نظم 
مملوماقية لحان واللطليرااقه لدت ملى عفرين هاما 
يعمل أوليفا حالياً مع شركة 7101 ويستخدم معظم ما 
جاء ‏ هذا الكتاب من تقنيات 4# التخاطب مع أعضاء 
فريقه على بعد أمتارء أو كيلومترات منه. 
محمد مراان ل ا ا 0 
لمعهد بحوث الإلكترونيات والعلوم الأساسية # دمشقء؛ 
ثم مديراً للمعهد العالي للعلوم التطبيقية والتكنولوجيا 
فيهاء ثم مستشاراً © الأمم المتحدة (الإسكوا). ثم 
كبير مستشاري العلوم والتكنولوجيا للتنمية المستدامة 
255 اجا ومحجمال حاليا مسدنناوا بض وؤاوة عاد 
والاقغطيط ل اكه العريية وديم 
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